Google tarafından geliştirilen deneysel bir AI aracı, yaygın olarak kullanılan açık kaynaklı projelerde ilk gerçek dünya güvenlik açıkları setini tanımlamıştır. Google’ın Güvenlik Bölümü’nün ifadelerine göre, dahili olarak kodlanan Big Sleep, 20 hatayı ortaya çıkardı.
DeepMind ve Google’ın dahili güvenlik ekibi projesi Zero arasındaki işbirliğinin sonucu olan AI Bug Hunter, yapay zekanın yazılım güvenlik açıklarını belirlemeye nasıl yardımcı olabileceğini araştırmak için devam eden bir girişimin bir parçasıdır. Google’ın güvenlik başkan yardımcısı Heather Adkins, AI aracının bir multimedya çerçevesi olan FFMPEG ve bir grafik işleme kütüphanesi ImageMagick de dahil olmak üzere birçok açık kaynak kütüphanesinde hata işaretlediğini doğruladı.
Büyük uyku tarafından keşfedilen güvenlik açıkları, düzeltmeler mevcut olmadan önce potansiyel sömürü önlemek için güvenlik araştırmalarında standart uygulama olduğu gibi, henüz kamuya açıklanmamıştır. Google’a göre, her konu AI ajanı tarafından özerk bir şekilde bulundu ve çoğaltıldı, ancak bir insan analisti rapor edilmeden önce bulguları doğrulamak için hala dahil edildi.
Yama boşluğunu ele almak için şeffaflık denemesi
Büyük uyku bulgularının yanı sıra Google, “yukarı akış yama boşluğu” dediği şeyi ele almayı amaçlayan yeni bir açıklama politikası da getirdi. Bu terim, bir yukarı akış satıcısı tarafından sabitlenen bir güvenlik açığı ile son kullanıcılar tarafından kullanılan aşağı akış ürünlerinde uygulanan düzeltme arasındaki zaman gecikmesini ifade eder.
Yakın tarihli bir blog yazısında, şirket bir raporlama şeffaflık deneme politikasını özetledi. Mevcut “90+30” modelini korurken (satıcıların sorunu çözmesi için 90 gün, isteğe bağlı Yama sunumu için 30 günlük uzatma), yeni yaklaşım artık erken bir açıklama adımı içerecektir.
Bir satıcıya bir güvenlik açığı bildirilmesinden yaklaşık bir hafta sonra Google,:
- Etkilenen satıcının veya projenin adı
- Etkilenen ürün
- Raporun sunulduğu tarih
- Çözüm için 90 günlük son tarih
Bu değişiklik, aşağı yönlü bakım yapanlara, sonunda kullanıcılarını etkileyebilecek güvenlik sorunlarına daha erken görünürlük sağlamayı amaçlamaktadır. Google’a göre, bu adım kötü amaçlı aktörlere yardımcı olabilecek teknik ayrıntılar veya kod içermeyecektir.
Blog Post, “ancak açık olmak istiyoruz: teknik detaylar, kavram kanıtı kodu veya keşfe maddi olarak yardımcı olacağına inandığımız bilgilerin son tarihe kadar yayınlanacağına inandığımız” “” Fikirsiz hatalar üzerinde artan dikkat olabilir. ”
Politika ayrıca Big Sleep’in bulgularına da uygulanmaktadır, yani AI aracı tarafından bildirilen güvenlik açıkları aynı şeffaflık zaman çizelgesini takip edecektir.
Büyük uyku için daha geniş bağlam
Yaklaşımdaki bu değişim, güvenlik açığı açıklamasını daha hesap verebilir ve zamana duyarlı hale getirme konusundaki daha geniş bir endüstri eğilimini yansıtmaktadır. Google, güvenlik araştırmaları gelişmiş olsa da, yama gelişimi ve gerçek benimseme arasındaki uzun boşlukların hala sistemleri açık bıraktığını savunuyor.
Şirket, bu gecikmenin genellikle bir yama son kullanıcılara ulaşmadan önce, yayınlandıktan sonra değil, aşağı akış satıcılarının yukarı akış düzeltmesini entegre ettiği aşamada gerçekleştiğini belirtiyor. Sonuç olarak, bilinen, sabit güvenlik açıkları bile haftalar veya aylar boyunca sömürülebilir kalabilir.
Google, nihai hedefin bu yukarı akış gecikmelerini kapatarak güvenlik açıklarının ömrünü azaltmak olduğunu söylüyor. Yine de, yeni politika bir yargılama olarak tanıtılıyor ve etkinliği zamanla değerlendirilecek.