Güvenlik açığı araştırmalarını dönüştürebilecek bir gelişmede, güvenlik araştırmacısı Matt Keeley, yapay zekanın halkın kavram kanıtı (POC) istismarları mevcut olmadan önce kritik güvenlik açıkları için çalışma istismarları oluşturabileceğini gösterdi.
Keeley, maksimum CVSS skoru 10.0 ile kritik bir Erlang/OTP SSH güvenlik açığı olan CVE-2025-32433 için fonksiyonel bir istismar geliştirmek için GPT-4’ü kullandı. Bu istismar, AI’nın siber güvenlikte büyüyen yeteneklerini sergiliyor.
“GPT-4 sadece CVE açıklamasını anlamakla kalmadı, aynı zamanda taahhütü neyin tanıttığını, eski kodla karşılaştırıldığını, Fark’ı bulduğunu, vuln’i bulduğunu ve hatta bir kavram kanıtı yazdığını da anladı. Ne zaman işe yaramadı? Hata ayıkladı ve düzeltti,” diye açıkladı Keeley 17 Nisan 2025’te yayınlanan ayrıntılı blog yazısında açıkladı.
.png
)
16 Nisan 2025’te açıklanan güvenlik açığı, Erlang/OTP’nin SSH sunucusu uygulamasını etkiler ve kimlik doğrulanmamış uzaktan kod yürütülmesine izin verir. Kritik kusur, bir bağlantının erken aşamalarında SSH protokol mesajlarının yanlış kullanılmasından kaynaklanır ve saldırganların yüksek ayrıcalıklara sahip savunmasız sistemlerde keyfi kod yürütmesini sağlar.
Keeley’in yaklaşımı, Horizon3.i araştırmacılarından bir POC yarattıklarını ancak yayınlamadığını belirten bir tweet fark ettiğinde başladı. Bu sınırlı bilgileri kullanarak GPT-4’ü güvenlik açığını analiz etmeye teşvik etti. AI sistematik olarak:
- Kodun farklı sürümleri
- Savunmasız ve yamalı kodu ayırmak için bir araç oluşturdu
- Güvenlik açığının kesin nedenini belirledi
- Oluşturulan istismar kodu
- Kodu çalışana kadar hata ayıkladı ve düzeltildi
Keeley, “Bu, AI’nın kırılganlık araştırmalarına ne kadar hızlı yardımcı olabileceği veya hatta tüm parçalarını otomatikleştirebileceğine dair bazı ciddi sorular açıyor. Birkaç yıl önce, bu süreç özel Erlang bilgisi ve manuel hata ayıklama saatleri gerektirecekti. Bugün, doğru istemlerle bir öğleden sonra sürecekti.
Güvenlik uzmanları bu gelişme hakkındaki hem coşkuyu hem de endişeleri ifade eder. Yapay zeka, güvenlik araştırmalarına erişimi demokratikleştirirken, kötü niyetli aktörlerin istismar geliştirmeleri için engelleri düşürür. Güvenlik açığının açıklanmasından sadece bir gün sonra, birden fazla araştırmacı çalışma istismarları yarattı ve Platform Güvenliği GitHub’da AI destekli POC’larını yayınladı.
Etkilenen Erlang/OTP sürümleri (OTP-27.3.2 ve önceki, OTP-26.2.5.10 ve önceki, OTP-255.3.2.19 ve önceki) daha yeni sürümlerde yamalanmıştır. Erlang/OTP SSH sunucularını kullanan kuruluşların derhal sabit sürümlere güncellemeleri istenir: OTP-27.3.3, OTP-26.2.5.11 veya OTP-255.3.2.20.
Bu dava, AI’nın siber güvenlik manzarasını nasıl yeniden şekillendirdiğini vurgulamaktadır. Bu araçlar daha sofistike hale geldikçe, güvenlik açığı ifşası ve sömürü gelişimi arasındaki süre küçülmeye devam ederek, hızlı yama stratejileri uygulamak için kuruluşlar üzerinde artan baskı yarattı.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy