Burp Ai’nin perde arkasında: Nasıl inşa ettik ve sırada ne var | Blog

Neden şimdi?

Yapay zeka endüstrileri hızla dönüştürüyor ve güvenlik testi bir istisna değil. Portswigger’da her zaman inovasyondan kaynaklandık, ancak bunun uğruna trendleri kovalamıyoruz. Bunun yerine, güvenlik profesyonellerine gerçek değer sunmaya odaklanıyoruz. AI, kullanıcılarımızın çalışma şeklini geliştirmek için büyük bir fırsatı temsil ediyor, bu nedenle bunu gübreleme süitine anlamlı bir şekilde entegre etmek için yola çıktık.

AI yardımına nasıl yaklaştığımız ve neden şimdi inandığımız hakkında daha fazla ayrıntı için, APPSEC endüstrisinin AI’ya karşı doğal tereddütüne meydan okuma zamanı geldiğine, Burp Suite Creator ve Portswigger CEO’su DafyDD Stuttard: AppSec’in neden Embreasing AI: Portswigger’ın ücrete liderlik etmesinin zamanı geldiğini inceleyin.

Yapımda bir yıl

Burp Ai’ye doğru yolculuğumuz bir gecede başlamadı. Temelleri kapsamlı araştırmalar, yinelemeli gelişim ve AI’nın penetrasyon testçilerine nasıl gerçekten fayda sağlayabileceğini anlamaya güçlü bir odaklanma ile ortaya koyduk.

• Aralık 2023: Bu teknolojinin güvenlik iş akışlarını nasıl geliştirebileceğini araştırarak AI odaklı iyileştirmelere nasıl odaklanabileceğimizi araştırmak için birlikte küçük bir ekip aldık.
• Ocak 2024: Portswigger’daki ekipler, yeni fikirleri ilerletmeyi amaçlayan özel araştırma süreleri olan dahili AI haftalarını denedi. Aynı zamanda AI altyapısı oluşturmaya odaklanmaya başladık. Bu dahil:
  • AI modellerini etkili bir şekilde yönetmek için sistemler geliştirmek
  • Yapay zeka kullanımı için ölçeklenebilir kredi tabanlı altyapının oluşturulması
  • AI Çözümlerimizin sorunsuz bir şekilde Burp Suite’e entegre edilmesini sağlamak
• 2024 boyunca: İş akışı geliştirmeleri, otomasyon ve verimlilik kazanımlarına odaklanarak AI destekli özelliklerimizi sürekli olarak rafine ettik. Amacımız asla hile yapmak değil, güvenlik profesyonellerinin işlerini daha iyi ve daha hızlı yapmasına gerçekten yardımcı olan araçlar oluşturmaktı.

Burp Ai’yi denemeye götürmek

Kasım 2024’te, birden fazla segmentte 30 testçiyle özel bir deneme başlattık. Bu önemli bir kilometre taşıydı – sadece kullanıcılarımız için değil, bizim için de. Aşağıdakileri içeren temel varsayımları doğrulamak için yola çıktık:

• Gerçek Değer: Kullanıcılara gerçekten yardımcı olduğumuz yapay zeka destekli özellikler miydi?
• Risk Algısı: Kullanıcıların yapay zekayı iş akışlarına entegre etme konusunda endişeleri vardı?
• Ölçeklenebilirlik: Güvenilirlik sağlarken daha geniş benimseme için Burp Ai’yi nasıl optimize edebiliriz?

Geri bildirim paha biçilmezdi. Neyin işe yaradığını, nerede iyileştirmelere ihtiyaç duyulduğunu ve yaklaşımımızı nasıl daha da geliştirebileceğimizi öğrendik.

Yargılamadan üretime kadar

Denemeden üretime geçiş sadece özellikleri kesinleştirmekle ilgili değildi – Burp AI’nin kullanıcılarımızın beklediği yüksek standartları karşılamasını sağlamak için öğrendiğimiz her şeyi dahil etmekle ilgiliydi.

• Aralık 2024-Ocak 2025: Geri bildirim aldık, özelliklerimizi yineledik ve yapay zeka ile çalışan yetenekleri daha geniş bir şekilde piyasaya sürmeden önce kritik iyileştirmeler yaptık.
• Güven kalmasını sağlamaya odaklandık. Güvenlik uzmanları gübre süitine güveniyor ve AI destekli özelliklerimizin bu güveni zayıflatmaktan ziyade güçlendirmesini sağlamak zorunda kaldık.
• Veri gizliliği bir başka önemli husus oldu ve yaklaşımımızı şeffaf bir şekilde belgeledik.
• Hiçbir hile, gerçek değer: gerçek problemleri çözmek için gerekli özelliklerimiz ve erken testçiler oluşturduğumuz şeyin verimliliği önemli ölçüde artırdığını doğruladı.
• Kullanım kolaylığı önemlidir: Zaman tasarrufu ve sadelik, geri bildirimdeki en tutarlı temalardan ikisidir ve sezgisel tasarıma olan bağlılığımızı güçlendirmiştir.

Sırada ne var?

Yeni başlıyoruz. Güvenlik profesyonellerinin Montoya API’sını kullanarak AI’yi sorunsuz bir şekilde iş akışlarına entegre etmelerini sağlayan AI ile çalışan genişletilebilirliği duyurduk. Bu, sıkıcı görevlerin otomasyonunu sağlar, güvenlik testini geliştirir ve web uygulaması güvenlik açıkları hakkında daha derin bilgiler sağlar.

Portswigger’ın güvenilir platformundan yararlanarak, kullanıcılar karmaşık AI altyapılarını yönetmeden yenilikçi çözümler geliştirmeye odaklanabilirler. Buna ek olarak, Gareth Heyes’in Hackvertor & Shadow Treater uzantıları, AI güdümlü genişletilebilirliğin gücünü göstermektedir ve geğirme süitinde dönüşümler oluşturmak ve uygulamak için yeni yollar sunmaktadır.

• Geliştirdiğimiz AI destekli özellikler çok yakında Burp Suite Professional’da sunulacak. Denemeden çok şey öğrendik, ancak her zaman gerçek kullanıcı geri bildirimlerine göre rafine etmek istiyoruz.
• Hedefimiz, tüm Burp Suite ürünlerinde AI yeteneklerini genişletmektir ve hem Burp Suite Profession hem de Burp Suite Enterprise Edition kullanıcılarının aynı geliştirmelerden faydalanabilmelerini sağlamaktır.
• Kullanıcılarımızdan öğrenmeye devam etmek istiyoruz. Bup süitinde AI’nın geleceğini şekillendirmekle ilgileniyorsanız, sizden haber almak isteriz. Gelecekteki denemelere ve tartışmalara katılmak için trials@portswigger.net adresine ulaşın.

Burp AI aylarca süren özel çalışmaların sonucudur ve güvenlik profesyonellerine nasıl yardımcı olduğunu görmek için sabırsızlanıyoruz.

Portswigger Discord’daki özel #Burp -ai kanalı hakkında daha fazla güncelleme için bizi izlemeye devam edin – buraya katılın.

Her zaman olduğu gibi, geri bildirimlerinizi memnuniyetle karşılıyoruz!