İlk kez, bilgisayar korsanları yapay zekâ kullanarak hiçbir otomatik tarayıcının tespit edemeyeceği bir güvenlik açığını bulup istismar etti. Google ise, kitlesel bir saldırının yalnızca kendi aktif izleme sistemleri sayesinde engellendiğini açıkladı.
Yapay zekâ, e-posta yazmayı, elektronik tablolar oluşturmayı ve tatil planlamayı her zamankinden kolay hale getirdi. Bunu da çeşitli yapay zekâ modellerinin gördüğü büyük ilgi kanıtlıyor.
REKLAM
REKLAM
Ayrıca Google'ın yakın tarihli bir raporuna göre, sistemlerimizin yazılımlarındaki daha önce haritalanmamış ya da öngörülmesi imkânsız açıkları tespit etmeyi de ciddi biçimde kolaylaştırdı.
Google'ın Tehdit İstihbarat Grubu, ilk kez, yapay zekâyı kullanarak bir sıfır gün açığını – yazılım geliştiricisinin varlığından henüz haberdar olmadığı ve yaması bulunmayan bir güvenlik zafiyetini – keşfedip sömüren bilgisayar korsanlarını yakaladığını açıkladı.
Hedef, web tabanlı popüler bir sistem yönetim aracıydı ve bu açık, saldırganların çoğu insanın hesaplarını koruduğuna inandığı ikinci güvenlik katmanı olan iki aşamalı kimlik doğrulamayı atlatmasına imkân tanıyordu.
Google, saldırı henüz geniş çapta devreye sokulmadan önce tespit ettiklerini ve yazılım üreticisini sessizce uyardıklarını belirtti.
Raporda, "Bu suç odaklı tehdit aktörü, açığı kitlesel bir istismar kampanyasında kullanmayı planlıyordu, ancak bizim proaktif karşı keşfimizi bunun kullanılmasını engellemiş olabilir," denildi.
"Çin Halk Cumhuriyeti ve Kore Demokratik Halk Cumhuriyeti bağlantılı tehdit aktörleri de zafiyet keşfi için yapay zekâdan yararlanmaya ciddi ilgi gösteriyor."
Geliştiricilerin gözünden kaçan bir açık
Bu sıfır gün açığı, klasik türden bir hata değil. Geleneksel güvenlik tarayıcıları çökme ve bellek hatalarının peşine düşer; bu, yazım denetiminin dijital bir yazım yanlışı aramasının yazılımsal karşılığıdır. Oysa bu zafiyet, kodun mantığına gömülüydü; geliştiricinin yaptığı, hiçbir otomatik tarayıcının yakalayamayacağı ince, koda sabitlenmiş bir varsayımdı.
Bu, yüzeyde her şey doğru görünürken alttaki mantığın bozuk olduğu türden bir hata. Şöyle düşünün: Kilidi çalışan bir banka kasası var, ancak tasarımcısı farkında olmadan sisteme bir istisna yerleştirdiği için, bu istisnayı bilen birine yine de açılıyor.
Yapay zekâ tam da bu tür çelişkileri bulmakta çok iyi. Raporda, "En gelişmiş büyük dil modelleri, bu tür üst düzey kusurları ve koda gömülü statik anormallikleri tespit etmede son derece başarılı," ifadesi yer alıyor.
Raporda, en gelişmiş büyük dil modellerinin karmaşık kurumsal yetkilendirme mantığında hâlâ zorlandığı, ancak "bağlamsal muhakeme yapma ve koda sabitlenmiş istisnalardaki çelişkileri yakalama konusunda giderek artan bir yeteneğe sahip olduğu" vurgulanıyor.
Bu yetenek, geleneksel tarayıcılara işlevsel olarak doğru görünen, ancak güvenlik açısından hatalı olan gizli mantık hatalarının gün yüzüne çıkarılmasını sağlayabiliyor.
Tek numarası bu değil
Sıfır gün açığı raporun başlıca bulgusu olsa da belgenin tamamı rahatsız edici bir tablo çiziyor.
Çin ve Kuzey Kore devlet destekli bilgisayar korsanları, ev yönlendiricilerinden kurumsal ağlara kadar her şeyi zayıf noktalar için yoklayan otomatik komutlar göndererek, zafiyet avını sanayi ölçeğinde yürütmek için yapay zekâ kullanıyor.
Google, Kuzey Koreli bir grubun, raporda "Yapay zekâ desteği olmadan yönetilmesi pratikte mümkün olmayan, çok daha sağlam bir istismar yetenekleri cephanesi" oluşturmak olarak tanımlanan bir şekilde, "farklı CVE’leri yinelenerek analiz eden ve PoC istismarlarını doğrulayan binlerce tekrarlayan komut" gönderdiğini gözlemledi.
Rusya bağlantılı gruplar ise, tespitten kaçmak için kendini anında yeniden yazabilen kötü amaçlı yazılımlar geliştirmede yapay zekâdan yararlanıyor; daha önce ciddi insan uzmanlığı gerektiren bir yetenekten söz ediliyor.
Yapay zekâ oltalama saldırılarını da dönüştürüyor. Saldırganlar artık, genel içerikli e-postaları topluca göndermek yerine, yapay zekâyı kullanarak kurumsal hiyerarşileri çıkarıyor, hassas verilere erişimi olan belirli hedefleri tespit ediyor ve raporun ifadesiyle "yönetici ayrıcalıklarına sahip kişilere göre uyarlanmış, çok daha yüksek doğrulukta oltalama yemleri" üretiyor; bunlar, "geleneksel toplu oltalamanın standart taktiklerinin" çok ötesine geçiyor.
Google’a göre daha geniş ölçekteki değişim, yapay zekânın bir araştırma aracından, güvenlik alanında adeta aktif bir savaşçıya dönüşmesi.
"Büyük dil modeli artık sadece pasif bir danışman değil; karmaşık araç setlerini koordine edebilen ve taktik kararları makine hızında alabilen, saldırı zincirinin etkin bir parçası," uyarısı yapılıyor.
Olumlu tarafı şu ki, Google’ın kendi yapay zekâ araçları söz konusu sıfır gün açığını zarar vermeden önce işaretledi. Şirket, zafiyetleri insan ekiplerin yetişebileceğinden daha hızlı bulup yamamak için kendi yapay zekâ ajanlarını devreye sokuyor.