Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Yapay Zekanın Geleceği ve Siber Güvenlik
Check Point, VoidLink Framework’ün Yapay Zeka Tarafından Oluşturulan İlk ‘Gelişmiş’ Tehdidi Tanımladı
Rashmi Ramesh (raşmiramesh_) •
21 Ocak 2026
Güvenlik araştırmacıları, tek bir geliştiricinin yapay zekayı kullanarak bir haftadan kısa bir sürede bir Linux kötü amaçlı yazılım çerçevesi oluşturduğunu söyledi. Check Point araştırmacıları, bunun, yapay zeka tarafından üretilen kötü amaçlı yazılımların, geliştirme zaman çizelgeleri ve kaynak gereksinimleri hakkındaki varsayımları zorlayacak bir hızda operasyonel olgunluğa ulaştığı belgelenen ilk vaka olduğunu söylüyor.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Araştırmacılar, Aralık ayında, Çince konuşulan bir geliştirme ortamından kaynaklandığı anlaşılan Linux kötü amaçlı yazılım örneklerini keşfettikten sonra, bulut odaklı bir kötü amaçlı yazılım çerçevesi olan VoidLink’i belirlediklerini söyledi. Çerçeve, özel yükleyiciler, implantlar, kaçınma için rootkit modülleri ve 30’dan fazla eklenti içerir. Araştırmacılar bununla ilk karşılaştığında, kötü amaçlı yazılımın olgunluğu, verimli mimarisi ve esnek işletim modeli, bir tehdit aktörünün birden fazla koordineli ekipten oluşan önemli bir geliştirme çabası gösterdiğini gösteriyordu.
Geliştiricinin neden olduğu operasyonel güvenlik hataları, geliştirme yapıtlarını açığa çıkardı. Materyaller, kötü amaçlı yazılımın ağırlıklı olarak yapay zeka odaklı geliştirme yoluyla üretildiğine ve ilk işlevsel implantasyonuna bir haftadan kısa bir sürede ulaştığına dair kanıt sağladı. Geliştiricinin sunucusundaki açık bir açık dizin, kaynak kodu, belgeler, sprint planları ve dahili proje yapısı da dahil olmak üzere geliştirme sürecine ait çeşitli dosyaları depoladı.
Dizin, 30 haftadan fazla planlı geliştirmeyi kapsayan üç ayrı dahili ekip için sprintleri, tasarım konseptlerini ve zaman çizelgelerini açıklayan planlama yapıtlarını içeriyordu. Ancak sprint zaman çizelgesi araştırmacıların gözlemleriyle uyumlu değildi; kötü amaçlı yazılımın yetenekleri, belgelerde ima edilenden çok daha hızlı genişliyordu. Projenin başlamasından sadece bir hafta sonra, 4 Aralık zaman damgasına sahip kurtarılmış bir test yapısı, o tarihe kadar VoidLink’in zaten işlevsel olduğunu ve 88.000’den fazla kod satırına ulaştığını gösteriyor.
Geliştiricinin yaklaşımı, iş akışında geliştiricinin ne inşa ettiğini belirlemesini, bir plan oluşturmasını, bu planı görevlere ayırmasını ve ancak bundan sonra bir aracının bunu uygulamasına izin vermesini içeren Özellik Odaklı Geliştirme olarak tanımlanabilir. VoidLink’in geliştirme ortamından elde edilen veriler, geliştiricinin şu modeli izlediğini gösteriyor: önce projeyi genel yönergelere ve mevcut kod tabanına göre tanımlamak, ardından yapay zekanın bu yönergeleri bir mimariye dönüştürmesini ve katı kodlama yönergeleri ve kısıtlamalarıyla eşleştirilmiş üç ayrı ekip arasında bir plan oluşturmasını sağlamak.
VoidLink’in gelişimi muhtemelen kasım ayı sonlarında, geliştiricisinin Trae adlı yapay zeka merkezli entegre geliştirme ortamına yerleştirilmiş bir yapay zeka asistanı olan Trae Solo’ya yönelmesiyle başladı. Araştırmacıların konuşma geçmişinin tamamına erişimi yok ancak Trae, modele sağlanan orijinal kılavuzun önemli bölümlerini koruyan yardımcı dosyaları otomatik olarak oluşturuyor. Bu dosyalar, kaynak koduyla birlikte tehdit aktörünün sunucusuna kopyalanmış ve daha sonra açığa çıkan dizin nedeniyle ortaya çıkmış gibi görünüyor.
Trae, hedefleri, malzeme alımını, mimari dökümünü, risk ve uyumluluk değerlendirmesini, kod deposu haritalamasını, teslimatları ve sonraki adımları kapsayan bir dizi önemli nokta olarak yapılandırılmış bir Çince talimat belgesi oluşturdu. Özet, açılış direktifinin doğrudan VoidLink’i oluşturmak değil, onu ince bir iskelet etrafında tasarlamak ve onu çalışan bir platforma dönüştürmek için somut bir uygulama planı üretmek olduğunu öne sürüyor.
Araştırmacılar ayrıca üç geliştirme ekibini kapsayan kapsamlı bir çalışma planını açıklayan dahili planlama materyalini de ortaya çıkardı. Çince yazılan ve Markdown dosyaları olarak kaydedilen belgeler, yapılandırılmış biçimlendirme ve ayrıntı dahil olmak üzere büyük dil modellerinin tipik özelliklerini göstermektedir. Zaman damgası 27 Kasım olan en eski belgeler, Zig programlama dilinde çalışan bir çekirdek ekip, C’de çalışan bir Arsenal ekibi ve Go’da çalışan bir arka uç ekip olarak belirlenen üç takımdan oluşan 20 haftalık bir sprint planını anlatıyor.
Kurtarılan VoidLink kaynak koduna göre kod standardizasyon talimatlarının incelenmesi, araştırmacıların çarpıcı hizalama olarak tanımladığı şeyi gösteriyor. Kurallar, yapı ve uygulama kalıpları, araştırmacıların kod tabanının tam olarak bu talimatlara göre yazıldığı sonucuna varmasını sağlayacak kadar yakından eşleşiyor.
VoidLink’in ve çeşitli sprint’lerinin belgelerine ve teknik özelliklerine erişim sayesinde araştırmacılar, geliştiricinin kullandığı Trae entegre geliştirme ortamının aynısını kullanarak iş akışını çoğalttı. Markdown dokümantasyon dosyalarındaki spesifikasyona göre tanımlanan çerçeveyi sprint adım uygulama görevi verildiğinde, model, yapı ve içerik açısından VoidLink’in gerçek kaynak koduna benzeyen kod üretmeye başladı. Model, her sprint’i belirlenen kod yönergelerine, özellik listelerine ve kabul kriterlerine göre uygulayarak ve bunları doğrulamak için testler yazarak, istenen kodu dağıttı.
Sprintlerin kullanımı, AI kod mühendisliği için yararlı bir modeldir çünkü her sprint’in sonunda, geliştirici, kodun çalıştığı ve bir sürüm kontrol deposuna adanabileceği bir noktaya sahiptir; bu, daha sonra, AI daha sonraki bir sprint’te hata yaparsa geri yükleme noktası olarak hareket edebilir. Test etme, entegrasyon ve spesifikasyon iyileştirmeleri geliştiriciye bırakılırken, bu iş akışı neredeyse tüm kodlama görevlerini modele aktarabilir.
VoidLink, yapay zeka öğelerini bünyesinde barındıran ilk kötü amaçlı yazılım değil. Google’ın Tehdit İstihbarat Grubu Kasım ayında, PromptFlux ve PromptSteal’in de aralarında bulunduğu, yürütme sırasında dinamik olarak kötü amaçlı komut dosyaları oluşturmak ve kodu gizlemek için büyük dil modelleri kullanan kötü amaçlı yazılım ailelerini tespit ettiğini söyledi. Google bunu “yürütme ortasında davranışı dinamik olarak değiştiren araçları içeren, yapay zekanın kötüye kullanılmasının yeni bir operasyonel aşaması” olarak nitelendirdi. Rus askeri bilgisayar korsanları PromptSteal’i Ukrayna kuruluşlarına yönelik siber saldırılarda kullanırken, PromptFlux’un mali motivasyonlu aktörler tarafından geliştirilme aşamasında olduğu görüldü (bkz: Kötü Amaçlı Yazılım Geliştiricileri Uyarlanabilir Kod Oluşturma için Yapay Zekayı Test Ediyor).
Yapay zeka destekli kötü amaçlı yazılımların daha önce belgelenen örnekleri genellikle düşük kaliteliydi, deneyimsiz aktörlerle bağlantılıydı veya açık kaynak araçlara çok benziyordu. Araştırmacılar, güvenlik araştırmacılarının yapay zekanın kötü amaçlı yetenekleri artıracağını tahmin ettiğini, ancak VoidLink’e kadar olan kanıtların öncelikle temel araçlara veya mevcut kötü amaçlı yazılımların varyantlarına işaret ettiğini söyledi.
Check Point, VoidLink’i yapay zeka odaklı kötü amaçlı faaliyetlerin temel çizgisini değiştiren bir ürün olarak nitelendiriyor. Check Point Araştırma Grup Müdürü Eli Smadja, vakanın yapay zekanın daha deneyimli tehdit aktörlerinin elinde ne kadar tehlikeli olabileceğini gösterdiğini söyledi. Çerçeve, yüksek düzeyde olgunluk, gelişmiş işlevsellik, verimli bir mimari ve dinamik, esnek bir operasyonel yapı göstermektedir. Check Point’e göre VoidLink, geliştirme sürecinin erken bir aşamasında tespit edildi ve kurbanlara karşı kullanılmadı veya aktif saldırılarda kullanılmadı.
Daha geniş siber güvenlik sektörü, yapay zekanın kötü niyetli faaliyetlerdeki rolünün gelişmesini izledi. Sektör raporları, tüm kimlik avı kampanyalarının tahminen %76’sında polimorfik kötü amaçlı yazılım taktiklerinin bulunduğunu ve büyük ihlallerin %70’inden fazlasının bir tür polimorfik kötü amaçlı yazılım içerdiğini gösteriyor. Cisco anketi, siber sorumluluklara sahip iş liderlerinin %86’sının geçen yıl yapay zeka ile ilgili en az bir olay bildirdiğini, kuruluşların %87’sinin ise geçtiğimiz yıl yapay zeka destekli bir siber saldırı yaşadığını bildirdi.
Bu gelişme, güvenlik uzmanlarının, öncelikle teknik destek ve üretkenlik kazanımları için kullanılan yapay zekadan tüm saldırı yaşam döngüsü boyunca entegre olmaya geçiş olarak tanımladığı şeyi temsil ediyor. Google’ın analizine göre, aralarında Kuzey Kore, İran ve Çin’in de bulunduğu devlet destekli aktörler, keşif ve kimlik avı tuzağı oluşturmadan komuta ve kontrol geliştirme ve veri sızdırmaya kadar operasyonlarının tüm aşamalarını geliştirmek için yapay zeka araçlarını kullanmaya devam ediyor.