Güvenlik araştırmacısı Sean, Openai’nin O3 modelini kullanarak Linux çekirdeğinde sıfır gün güvenlik açığını başarıyla tanımladı. CVE-2025-37899 olarak belirlenen keşif, AI destekli güvenlik açığı araştırmalarında önemli bir kilometre taşını temsil etmektedir.
20 Mayıs 2025’te resmi olarak teyit edilen güvenlik açığı, Linux çekirdeğinin KSMBD bileşenini etkiler-ağlar üzerinden dosyaları paylaşmak için SMB3 protokolünü uygulayan bir ternel sunucu.
Özellikle, potansiyel olarak ciddi güvenlik ihlallerine yol açabilecek SMB ‘Oturum Kaynama’ komutu için işleyicide kullanılmayan bir güvenlik açığı tanımlanmıştır.
.png
)
Sean, “O3 API’sından daha karmaşık bir şey olmadan güvenlik açığını bulamadım – iskele yok, aracı çerçevesi yok, araç kullanımı yok” dedi. Sean, “Bu, bildiğim kadarıyla, büyük bir dil modeli tarafından bulunan bu doğanın savunmasızlığının ilk kamuoyu tartışması.
Teknik detaylar, bir iş parçacığı bir giriş komutunu işlerken, SESS-> kullanıcı nesnesini serbest bıraktığını ortaya koyuyor.
Ancak, başka bir bağlantının serbest bırakılan oturuma bağlanması için bir oturum kurulumu isteği gönderdiğini varsayalım. Bu durumda, bu bağlantının işleyicisi eşzamanlı olarak SESS-> kullanıcıya erişebilir ve bu da klasik bir kullanım senaryosu ile sonuçlanır.
Bu tür güvenlik açıkları hafıza yolsuzluğuna yol açabilir ve potansiyel olarak saldırganların çekirdek ayrıcalıkları ile keyfi kod yürütmesine izin verebilir.
16 Nisan 2025’te yayınlanan Openai’nin O3 modeli, AI akıl yürütme yeteneklerinde önemli bir ilerlemeyi temsil ediyor. Model, “yanıt vermeden önce daha uzun süre düşünmek” için tasarlanmıştır ve kodlama ve matematik de dahil olmak üzere karmaşık görevlerde önemli ölçüde gelişmiş performans göstermektedir.
Karmaşık kod yapılarını ve eşzamanlı operasyonlarla ilgili nedenleri anlama yeteneği, bu güvenlik açığının belirlenmesinde çok önemli olduğunu kanıtladı.
Sean, “O3 ile LLMS, kodla ilgili akıl yürütme yetenekleri konusunda ileriye doğru bir adım attı ve güvenlik açığı araştırmalarında çalışıyorsanız, yakından dikkat etmeye başlamalısınız” dedi. “Şimdi sizi önemli ölçüde daha verimli ve etkili hale getirebilecekleri bir aşamadalar.”
Güvenlik uzmanları, bu güvenlik açığını yüksek bir şiddet puanı ile derecelendirir, ancak istismar tahmin puanlama sistemi (EPSS) şu anda nispeten düşük bir sömürü olasılığını%0.02 tahmin etmektedir. Güvenlik açığı, 6.12.27, 6.14.5 ve 6.15-rc4’e kadar olan birden fazla Linux çekirdek versiyonunu etkiler.
SUSE dahil Linux dağıtımları zaten yamalar üzerinde çalışıyor. SUSE Güvenlik Ekibi şu anda sorunu “ılımlı bir ciddiyet” olarak değerlendiriyor. Kullanıcılar, kullanıma sunuldukça güncellemeleri uygulamaya teşvik edilir.
Keşif, AI sistemlerinin güvenlik araştırmalarını nasıl dönüştürebileceği konusunda bir dönüm noktası işaret ediyor. İnsan güvenliği araştırmacılarını değiştirmek yerine, O3 gibi modeller, karmaşık kod tabanlarını etkili bir şekilde analiz edebilen güçlü asistanlar olduğunu kanıtlıyor.
Sean, “Uzman düzeyinde bir güvenlik açığı araştırmacısı veya istismar geliştiriciyseniz, makineler sizi değiştirmek üzere değil” dedi. “Aslında, tam tersi: Şimdi sizi önemli ölçüde daha verimli ve etkili hale getirebilecekleri bir aşamadalar.”
Yapay zeka modelleri gelişmeye devam ettikçe, bu keşif, insan-ai işbirliğinin kötü niyetli aktörlerin bunlardan yararlanabilmesi için kritik güvenlik açıklarını belirleme ve azaltma konusunda standart bir uygulama haline geldiği bir geleceği önermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!