Google, yapay zeka destekli güvenlik aracı Big Sleep ile siber güvenlikte yeni bir sayfa açıyor. Şirketin DeepMind ve Project Zero ekipleri tarafından geliştirilen bu LLM tabanlı sistem, ilk aşamada açık kaynaklı yazılımlar üzerinde 20 güvenlik açığı tespit etti. Hedefte ise ses – görüntü kütüphanesi FFmpeg ve görsel düzenleme aracı ImageMagick gibi popüler projeler vardı.
Google’ın Güvenlik Başkan Yardımcısı Heather Adkins, bulguları kamuoyuyla X hesabında paylaştı. Her ne kadar açıkların detayları ve etkileri henüz kamuya açıklanmasa da, bu tür bilgilerin güvenlik yamaları tamamlanana kadar gizli tutulması sektörde standart bir uygulama.
Big Sleep’in tespitleri her ne kadar insan uzmanlar tarafından doğrulanmış olsa da, Google’a göre her bir açık tamamen yapay zeka tarafından bulundu ve yeniden üretildi. Şirket sözcüsü Kimberly Samra, şu ifadeleri kullandı:
Raporların kaliteli ve uygulanabilir olmasını sağlamak adına son aşamada bir uzman sürece dahil ediliyor; ancak keşif safhası tamamen Big Sleep’e ait.
Google Mühendislik Başkan Yardımcısı Royal Hansen, bu başarıyı “Otomatik güvenlik açığı keşfinde yeni bir dönüm noktası.” olarak tanımlıyor. Zira Big Sleep, yapay zekanın sadece teoride değil, pratikte de işe yaradığını göstermeye başladı. Elbette Big Sleep bu alandaki tek oyuncu değil. RunSybil ve XBOW gibi diğer yapay zeka destekli araçlar da bug bounty dünyasında adından söz ettiriyor. Özellikle XBOW, HackerOne platformundaki ABD liderlik tablosunda zirveye yerleşmiş durumda.
Ancak bu gelişmeler beraberinde bazı tartışmaları da getiriyor. Yazılım geliştiriciler, zaman zaman yapay zeka sistemlerinin “halüsinasyon” ürettiği, yani aslında var olmayan açıklar bildirdiği konusunda uyarılarda bulunuyor. Bu tür sahte raporlar, “AI slop” olarak adlandırılıyor ve bug bounty dünyasında ciddi bir tartışma konusu haline gelmiş durumda. Yine de uzmanlar, Big Sleep gibi projelerin arkasındaki mühendislik kalitesine dikkat çekiyor. RunSybil’in kurucu ortağı Vlad Ionescu, “Big Sleep gerçek bir proje. Proje ekibi deneyimli, DeepMind da bu işin hakkını verecek güce sahip.” diyerek projeye olan güvenini dile getiriyor.
Kısacası, yapay zeka destekli bug avcıları artık sadece konsept değil, çalışan ve sonuç üreten araçlar. Fakat sektörde bu araçların nasıl kullanılacağı, hangi standartlara göre değerlendirileceği gibi sorular henüz netlik kazanmış değil.
Kaynak: webrazzi
