Dafydd Stuttard 14 Şubat 2025, 14:23 UTC
AI hemen hemen her sektörde hızla çekişiyor. Ancak APPSEC’de, bazıları tarafından en iyi ihtimalle işe yaramaz bir hile veya ölçeğin diğer ucunda büyük bir güvenlik endişesi olarak görülen sağlıklı bir şüphecilikle karşılanır.
Bu şüphecilik anlaşılabilir. Hepimiz, geçtiğimiz yıl pazarlama departmanları için tıklama yemi sağlamanın ötesinde çok az değer sunan AI destekli özelliklere maruz kaldık. Güvenlik testi, doğal olarak potansiyel olarak yıkıcı işlevsellik ve son derece hassas verilerle etkileşime dayanmaktadır. Sonuç olarak, bazı kuruluşlar AI araçlarının, kontrol kaybından veya bu hassas bilgilerin kazara maruz kalmasından korkarak AI araçlarının kullanılmasına izin vermekte tereddüt etmektedir.
Ancak AI’dan tamamen kaçınmak cevap değil. Aslında, bu kendi başına bir risktir.
Portswigger’da, AI’nın penetrasyon testini dönüştürme gücüne sahip olduğuna inanıyoruz – insan test uzmanlarını değiştirerek değil, onları artırarak. Bu nedenle, yakın zamanda, bir hile ya da hype’a yanıt olarak değil, pentesterleri yaptıkları işte daha da iyi hale getirecek elektrikli aletler oluşturmanın yolunu açmak için, güden süit için ilk AI-arttırılmış işlevselliği yayınladık.
Tanıdık bir yenilik modeli
Bu hikayenin daha önce sayısız kez oynandığını gördük.
Yüz yıl önce, örneğin, marangozlar el aletlerine güveniyordu. Elektrikli aletlerin tanıtımı marangozları eski haline getirmedi – onları daha hızlı, daha doğru ve daha verimli hale getirdi. Bugün, hiç kimse bir marangozun el burgu yerine matkap kullanması gerekip gerekmediğini sorgulamıyor; Elektrikli aletler sadece işin bir parçasıdır.
AppSec’te AI için öngördüğümüz gelecek bu. AI yardımı, Pentester’ın araç setinin sıradan, günlük bir parçası olacak. İnsan uzmanlığının yerini almayacak, ancak daha akıllı, daha hızlı ve daha fazla hassasiyetle çalışmanıza yardımcı olacak.
Evrim, devrim değil
Bu, pentesterleri ortadan kaldıran bir devrim değil, onları güçlendiren bir evrim.
Onlarca yıldır, pentesters verimliliği artırmak için iş akışlarının bir bölümünü otomatikleştiriyorlar. Burp süiti ilk oluşturduğumda, bunun nedeni tembel bir pentester olduğumdu. Tıpkı herkes gibi, işleri elle yapmanın sıkıcı, tekrarlayan ve doğal olarak hataya eğilimli olduğunu gördüm.
Burp Intruder, kendi iş akışımı artırmak için inşa ettiğim ilk araçtı, çalıştırmak istediğim her test durumunu yazarak saatler harcamadan testimi katlanarak ölçeklendirmeme izin verdi. Bugün, özel, otomatik saldırılar için nihai güç aracı olmaya devam ediyor ve dünyanın dört bir yanındaki 17.000’den fazla organizasyonda 80.000’den fazla web uygulaması pentesteri tarafından günlük olarak güveniyor.
AI’yı bu fikrin bir sonraki evrimi olarak görüyorum.
Zamanınızı ve uzmanlığınızı en önemli yere yatırın
Tarihsel olarak, sektördeki alınan bilgelik, pentest görevlerinin yaklaşık% 50’sinin sonunda otomatikleştirilebileceği, diğer% 50’sinin ise insan sezgisini gerektirmesi idi.
Son yıllarda AI teknolojisindeki neredeyse benzeri görülmemiş ilerlemelerle, sayının çok daha yüksek tırmanabileceğine inanıyoruz – potansiyel olarak%80’e kadar, uzman, insan test uzmanlarını kontrol altında tutarken en monoton çalışmayı boşaltmanıza izin veriyoruz.
AI ile çalışan geğirme süiti Pentesters’a yardımcı olacaktır:
- Güvenlik açıklarını daha hızlı bulun AI yardımı tarafından sağlanan verimlilik ve doğruluk sayesinde.
- Doğruluklarını iyileştirmek Karmaşık, tekrarlayan görevlerde insan hatasını azaltarak.
- Yaratıcı problem çözme için daha fazla zaman geçirinzamanlarını ve uzmanlıklarını en önemli olduğu yerde uygulamak – AI’nın güvenilir bir şekilde çoğalamayacağı bir pentin unsurlarında.
Biz hile yapmıyoruz
Başka yerlerde AI benimsemesinde gördüğümüz hataları denemek ve kaçınmak için bilinçli bir çaba sarf ettik.
- Hype’da para kazanmıyoruz. İsteseydik, bir yıl önce yüzeysel AI özellikleri yayınlayabilirdik, ancak gerçek değer vermezlerdi.
- Tamamen Pentesting’i otomatikleştirmek için burada değiliz. Bugünün teknolojisi, otopilotta çalışan tamamen özerk bir hackleme makinesini mümkün kılmıyor. İnsan sezgisini değiştiren bir insan-ai ortaklığıdır.
- Bir AI kara kutusu inşa etmiyoruz. Arka planda “Magic AI şeyler” yapan bağlantısı kesilmiş bir motor yerine, yapay zekayı test cihazlarının zaten kullandığı iş akışlarına sorunsuz bir şekilde entegre ediyoruz.
Bunu modern araçlarda sürücü yardımının tanıtımı gibi görüyoruz – sürüşü daha güvenli ve daha verimli hale getiren gelişmiş iyileştirmeler. Destekli direksiyon, uyarlanabilir seyir kontrolü ve park yardımları, araçla etkileşim kurma şeklini temelden değiştirmeden sürücüye yardımcı olur.
Burp Suite’teki AI, sizi tanıdık olmayan veya yıkıcı çalışma yollarına zorlamak yerine mevcut iş akışınızı sorunsuz bir şekilde artıran artımlı, pratik entegrasyonlar sağlayacak benzer bir deseni takip edecektir.
Hata yapma, bu karmaşık bir alan ve pentesting o kadar çok yönlü ki, bunu doğru yapmak çok zor bir zorluk. Bu yüzden, bu yeni yetenekleri inmek ve onları insanlarla paylaşmaktan gerçekten heyecan duyduğumuz noktaya getirmek için geçen yıl Portswigger’da büyük miktarda iş yaptık.
AI, Gizlilik ve Kontrol
Kuruluşların veri gizliliği ve güvenlik konusunda gerçek endişeleri olduğunu biliyoruz. Bu yüzden AI ile çalışan özelliklerimizi tam şeffaflık ve kullanıcı kontrolü ile tasarladık:
- Kontrol içindesin. Burp Suite aniden verilerinizi bilmeden bir AI hizmetine göndermeye başlamaz. AI yardımının ne zaman ve nasıl etkileşim kuracağınızı açıkça seçiyorsunuz.
- Kullanıcı verileri üzerinde AI model eğitimi yok. Kullandığımız AI hizmetleri, işledikleri verileri saklamıyor ve model eğitim amaçlı kullanmıyor. Sonuç olarak, LLM tarafından işlenen herhangi bir bilginin bir şekilde yutulması ve daha sonra gelecek bir noktada başka bir noktada yeniden düzenlenmesi riski yoktur.
- Mevcut iş akışlarında bozulma yok. AI, havada sezgisel ve müdahaleci olmayan bir şekilde burp süitinde dokunacaktır.
Burp Suite’teki AI’nın en yüksek güvenlik standartlarını karşılamasını sağlayarak şeffaflık yoluyla güven oluşturmaya kararlıyız. Güvenlik ve güvenilirliği nasıl sağladığımızın daha teknik bir dökümü için, verilerinizin belgelerimizde nasıl ele alındığı hakkında daha fazla bilgi edinebilirsiniz. Ek endişeleriniz varsa, lütfen bu kısa geri bildirim formu aracılığıyla bize ulaşın ve en yaygın sorguları ele almak için elimizden geleni yapacağız.
Benimseme eğrisi
Her büyük teknoloji değişimi bir benimseme eğrisini takip eder.
Bulut bilişim al. İlk günlerinde yaygın tereddüt vardı. Kuruluşlar veri güvenliği, uyumluluk ve kontrol konusunda endişeli. Ancak verimliliği ve ölçeklenebilirlik avantajlarını gördüklerinde, zihniyet değişti. Nihayetinde, faydalar görmezden gelmek için çok açık hale geldi ve bugün bulut benimsemesi neredeyse evrensel.
AI benzer bir yörüngeyi takip edecektir. Şu anda, bazı şirketler doğal olarak temkinli. Ancak yapay zeka ile çalışan araçlar giderek daha fazla gerçek değer gösterdikçe, bu tereddütün solması.
Evlat edinmenin iki dalgada gerçekleşmesini bekliyoruz:
- Aşağıdan yukarıya evlat edinme: Bireysel Pentesters, AI’nın verimlilik kazanımlarını ilk elden yaşayacak ve kuruluşlarında benimsemesini zorlayacak.
- Yukarıdan aşağıya evlat edinme: İşletmeler potansiyel YG’yi gördükçe, yapay zeka şüpheciliğinden AI ilk güvenlik stratejilerine geçecekler.
Bulut devrimi, bozucular tarafından yönlendirilmesi ve başlangıçta sektördeki görevdeki oyuncuların direnişiyle karşılanması nedeniyle oldukça farklıydı. Yapay zeka ile Big Tech öncülük ediyor, bu yüzden hepimizin günlük olarak kullandığımız hizmetlerde, uygulamalarda ve cihazlarda zaten ortaya çıkıyor. Bu sadece devam edecek gibi görünüyor.
Odada başka bir fil daha var: Kötü adamlar beklemiyor. Kötü niyetli aktörler zaten güvenlik açıklarını daha hızlı bulmak ve saldırılarını ölçeklendirmek için AI’dan yararlanıyorlar. Kedi ve fare oyununun savunma tarafında geride kalamayacağız.
Bugün Burp Suite’te AI deneyim
AI’nın pentesting’e üretken uygulamasında suçlamaya liderlik etmekten gurur duyuyoruz. İlk AI geliştirmelerimiz artık erken benimseyen yayın kanalında Burp Suite profesyonel kullanıcıları için canlı.
AI-arttırılmış uzantılar oluşturun
Bu başlangıç aşaması için, Montoya API’sına, uzantılarınızın kendi amaca uygun, güvenilir platformumuz aracılığıyla bir LLM hizmetiyle sorunsuz bir şekilde etkileşime girmesini sağlayan yapay zeka ile çalışan genişletilebilirliğe odaklandık.
API tarafından sağlanan soyutlama, AI hizmeti ile etkileşim kurmak için destekleyici mekanizmaları oluşturmak yerine yenilikçi yeni işlevsellik geliştirmeye odaklanabileceğiniz anlamına gelir. Yerleşik bir AI kredisi sistemi aynı zamanda uzantınızdaki kullanıcıların AI hizmetine kayıt yaptırmak zorunda olmadıkları ve API anahtarlarını ve faturalandırmalarını yönetmenin karmaşıklıklarını ortadan kaldırması anlamına gelir.
Bu kadar yetenekli ve tutkulu bir Burp Suite kullanıcılarına sahip olmaktan gurur duyuyoruz ve teknolojiyi ne kadar zorlayabileceğinizi görmekten heyecan duyuyoruz.
Ai-artmış hackvertor
Size biraz ilham vermek için Portswigger araştırmacısı Gareth Heyes, popüler Hackvertor uzantısını AI ile geliştirdi ve daha gelişmiş işlevlerin bir kısmını tek bir kod satırı yazmadan kullanmak için yeni seçenekler sundu.
Bunu şimdi Bapp mağazasından yükleyebilir veya yeni arayüzlerle nasıl çalışacağınıza dair bir örnek görmek için GitHub Repo’yu ziyaret edebilirsiniz.
Ayrıca, Burp’un içinden uzantılar oluşturmak için bir başlangıç projesi indirmek için yeni bir seçenek ekledik. Bu, daha hızlı kodlamanıza yardımcı olacak KAYNA plakası kodunu içerir.
Erken benimseyen kanaldaki her Burp Suite profesyonel kullanıcı artık 10.000 ücretsiz AI kredisi olan bir pakete sahip, bu yüzden şimdi denemeye başlamak için mükemmel bir zaman.
Sırada ne var?
AI ile çalışan uzantılar sadece başlangıçtır. Portswigger’daki misyonumuz, dünyanın Web’i güvence altına almasını sağlamaktır ve her zaman kullanıcılarımızın karşılaştığı gerçek, pratik sorunlara yenilikçi çözümler üzerinde çalışıyoruz.
Son zamanlarda, AI’dan yararlanarak, daha önce imkansız veya uygulanması pratik olmayan çözümler oluşturabileceğimizi bulduk. Önümüzdeki aylarda, ilk yerleşik AI yardım özelliklerini yayınlamayı umuyoruz. Ama emin olun – AI ile sadece uğruna çalışmıyoruz; En iyi sonuçları elde eden teknolojiyi kullanarak temel araçlarımızı geliştirmeye devam edeceğiz.
Bazı AI geliştirmeleri, daha az deneyimli kullanıcıların becerilerini keskinleştirmelerine yardımcı olacak ve üst düzey meslektaşların denetim ve mentorluk sağlama yükünü azaltır. Ölçeğin diğer ucunda, güç kullanıcılarının zamanlarını ve uzmanlıklarını en iyi şekilde kullanmalarını umuyoruz.
Son Düşünceler
Soru, AI’nın penetrasyon testinin geleceğini şekillendirip şekillendirmeyeceği, ancak onu en etkili şekilde kullanacak. Portswigger’da sadece eğriyi takip etmiyoruz, biz de tanımlıyoruz.
Yapay zeka ile çalışan geğirme süiti ile pentesters, kontrol, güvenlik veya güvenden ödün vermeden daha hızlı, daha akıllı ve daha verimli bir şekilde çalışabilir. En iyi güvenlik profesyonelleri değişimden korkmazlar – onlara bir avantaj sağlayan araçları kucaklarlar. Ve şu anda, bu kenar AI.
Sohbete devam et
Bu yeni AI işlevselliğine nasıl ulaştığınızı duymak isteriz. Portswigger Discord’daki konuşmaya katılın ve topluluğa, özel Burp AI kanalında Burp Suite’te AI ile nasıl yenilik yaptığınızı bildirin.
Yazar hakkında
Dafydd Stuttard, Portswigger’ın baş swig ve endüstrinin web uygulaması ve API güvenlik testi için araç seti olan Burp Suite’in yaratıcısıdır. Eski bir Pentester’ın kendisi, aynı zamanda web uygulaması hacker’ın el kitabının yazarıdır ve etkileşimli, çevrimiçi halefi Web Güvenlik Akademisi’ni yaratmıştır. Her ikisi de, böcek ödül avcıları ve deneyimli pentesters için paha biçilmez kaynaklar olarak hizmet etmeye devam ediyor.