İlk kez Google, yapay zeka ile geliştirilen bir sıfır günü istismarını tespit ettiğini ve durdurduğunu açıkladı. Google Tehdit İstihbarat Grubu‘ndan gelen bir rapora göre, “önemli siber suç tehdit aktörleri”, adı açıklanmayan bir “açık kaynaklı, web tabanlı sistem yönetim aracında” iki faktörlü kimlik doğrulamasını atlayabilmelerini sağlayacak bir “kitlesel istismar etkinliği” planlıyordu.
Google’ın araştırmacıları, istismar için kullanılan Python betiğinde, yapay zeka yardımını belirten ipuçları buldu. Örneğin, “hayali bir CVSS skoru” ve “yapılandırılmış, ders kitabı formatında” bir yapı dikkat çekti. İstismar, geliştiricinin platformun iki faktörlü kimlik doğrulama sisteminde bir güven varsayımını sert kodladığı “yüksek seviyeli anlamsal mantık hatasını” suistimal ediyor. Bu durum, Anthropic’in Mythos gibi siber güvenlik odaklı yapay zeka modellerinin yetenekleri üzerine tartışmaların yoğunlaştığı haftaları takip ediyor ve yapay zeka yardımıyla keşfedilen yeni bir Linux güvenlik açığını gündeme getiriyor.
Bu, Google’ın böyle bir saldırıda yapay zekanın yer aldığını gösteren ilk bulgusu. Ancak araştırmacılar, “Gemini’nin kullanıldığına inanmıyoruz” diyor. Google, bu belirli istismarı “bozmayı” başardığını belirtmesine rağmen, hackerların güvenlik açıklarını bulmak için giderek artan bir biçimde yapay zeka kullandığını da ekliyor. Rapor ayrıca, GTIG’nin yapay zeka sistemlerinin işlevselliğini sağlayan entegre bileşenleri hedef alan saldırganların sayısının arttığını belirtiyor.
Google’ın raporu, hackerların yapay zekayı kendilerine güvenlik açıkları bulması için “persona odaklı jailbreak” yöntemleriyle kullandığını özetliyor. Örneğin, yapay zekaya güvenlik uzmanı olarak davranması için talimat veren bir örnek komut ortaya koymuşlar. Hackerlar ayrıca, yapay zeka modellerine güvenlik açıkları ile ilgili veri havuzlarıyla besleme yapıyor ve OpenClaw’ı kullanarak “istismar güvenilirliğini artırmak için AI tarafından üretilen yüklerin kontrol altında rafine edilmesine ilgi gösteriyorlar” gibi davranışlar sergiliyorlar.
Yapılan bu çalışmalar, yapay zekanın siber güvenlik alanındaki rolünün ne kadar kritik hale geldiğini gösteriyor. Peki, sizce bu durum güvenlik stratejilerimizi nasıl etkileyebilir?
