Vakit bilgisi yükleniyor...Vakit --:--:--$ 45,4695 · € 52,9064
--.----:--:--
Bilim & Teknoloji

1 Dolar ile Siber Saldırılar Artarken, Dayanıklı Savunmalar Karşılığını Veriyor

Justin Capposspectrum.ieee.orgKaynağa git
1 Dolar ile Siber Saldırılar Artarken, Dayanıklı Savunmalar Karşılığını Veriyor
Yeni keşfedilen bir yazılım zafiyetini siber saldırıya dönüştürmek aylar alıyordu. Bugün ise - son zamanlarda Anthropic'in Project Glasswing ile ilgili manşetlerin gösterdiği gibi - üretken yapay zeka bu işi dakikalar içinde, genellikle bir dolardan daha az bir bulut bilişim süresiyle yapabiliyor. Ancak büyük dil modelleri gerçek bir siber tehdit sunarken, aynı zamanda siber savunmaları güçlendirmek için bir fırsat da sağlıyor. Anthropic, Claude Mythos önizleme modelinin, her büyük işletim sistemi ve web tarayıcısındaki hatalar dahil olmak üzere, savunucuların önceden binlerce sıfır-gün zafiyetini keşfetmelerine yardımcı olduğunu bildirdi ve Anthropic, ifşaların açıklanması ve ortaya çıkan hataların yamanması için çabalarını koordine etti. Yapay zeka destekli hata bulmanın nihayetinde saldırganları mı yoksa savunucuları mı avantajlı kılacağı henüz net değil. Ancak savunucuların şanslarını artırmak ve belki de avantajı elde tutmak için, otomatik zafiyet keşfinin daha önceki bir dalgasına bakmak faydalı olacaktır. 2010'ların başında, milyonlarca rastgele, hatalı girdi ile programları hedef alabilen yeni bir yazılım kategorisi ortaya çıktı - bir tür maymunun daktilo kullanması gibi, tuşlara basarak bir zafiyet bulana kadar devam ediyor. Amerikan Fuzzy Lop (AFL) gibi "fuzzer"lar sahneye çıktığında, her büyük tarayıcı ve işletim sisteminde kritik hatalar buldular. Güvenlik topluluğunun tepkisi öğreticiydi. Panik yapmak yerine, kuruluşlar savunmayı sanayileştirdiler. Örneğin, Google, binlerce yazılım projesinde sürekli olarak fuzzer'ları çalıştıran OSS-Fuzz adında bir sistem geliştirdi. Böylece yazılım sağlayıcıları, saldırganların bulmadan önce hataları yakalayabiliyordu. Beklenti, yapay zeka destekli zafiyet keşfinin de aynı yolu izleyeceğidir. Kuruluşlar bu araçları standart geliştirme pratiğine entegre edecek, sürekli olarak çalıştıracak ve güvenlik için yeni bir temel oluşturacaklar. Ancak benzetmenin bir sınırı var. Fuzzing, kurulum ve işletim için önemli teknik uzmanlık gerektirir. Bu, uzmanlar için bir araçtı. Öte yandan, bir LLM, yalnızca bir istemle zafiyetleri bulur - bu da rahatsız edici bir asimetri yaratır. Saldırganların kodu istismar etmek için teknik olarak sofistike olmalarına gerek yoktur, oysa sağlam savunmalar hala mühendislerin AI modellerinin sunduğu bilgileri okumalarını, değerlendirmelerini ve harekete geçmelerini gerektirir. Hataları bulma ve istismar etme insan maliyeti sıfıra yaklaşabilir, ancak bunları düzeltmek öyle olmayacaktır. Yapay zeka hataları bulmada mı yoksa düzeltmede mi daha iyi? Peter Gutmann, Engineering Security kitabının girişinde, "bugünün güvenlik teknolojilerinin çoğu, yalnızca kimsenin onlara bakmaya zahmet etmediği için 'güvenli'." gözlemini yapmıştır. Bu gözlem, yapay zekanın hataları bulmayı dramatik şekilde daha ucuz hale getirmesinden önce yapılmıştı. Günümüzdeki kodların çoğu - ticari yazılımların bağımlı olduğu açık kaynak altyapı dahil - küçük ekipler, yarı zamanlı katkıda bulunanlar veya özel güvenlik kaynakları olmayan bireysel gönüllüler tarafından korunmaktadır. Herhangi bir açık kaynak projesindeki bir hata, önemli bir aşağı akış etkisi yaratabilir. 2021'de, birkaç gönüllü tarafından sürdürülen Log4j adlı bir günlükleme kütüphanesindeki kritik bir zafiyet, yüz milyonlarca cihazı tehlikeye attı. Log4j'nin yaygın kullanımı, tek bir gönüllü tarafından sürdürülen bir kütüphanedeki bir zafiyetin, kaydedilen en yaygın yazılım zafiyetlerinden biri haline gelmesine neden oldu. Popüler kod kütüphanesi, daha geniş bir sorunun yalnızca bir örneğidir; bu da kritik yazılım bağımlılıklarının asla ciddi şekilde denetlenmemiş olmasıdır. İyi ya da kötü, yapay zeka destekli zafiyet keşfi muhtemelen düşük maliyetle ve ölçekle çok fazla denetim gerçekleştirecektir. Kaynakları yetersiz bir projeyi hedef alan bir saldırganın çok az manuel çaba gerektirir. Yapay zeka araçları, denetlenmemiş bir kod tabanını tarayabilir, kritik zafiyetleri tanımlayabilir ve minimal insan uzmanlığı ile çalışan bir istismar oluşturmaya yardımcı olabilir. LLM destekli istismar üretimi üzerine yapılan araştırmalar, yetenekli modellerin siber zayıflıkları otonom bir şekilde ve hızla istismar edebileceğini göstermiştir; bu da hatanın ifşası ile o hatanın çalışan bir istismarı arasındaki süreyi haftalardan sadece birkaç saate sıkıştırmaktadır. Bulut sunucularından başlatılan üretken yapay zeka tabanlı saldırılar da son derece ucuz bir şekilde
NASA Kalibrasyon Aracı Uluslararası Uzay İstasyonu'na Fırlatıldı
Bilim & Teknoloji

NASA Kalibrasyon Aracı Uluslararası Uzay İstasyonu'na Fırlatıldı

Cuma günü, NASA'nın Kalibrasyon Mutlak Işınım ve Refraktivite Gözlemevi Pathfinder (CLARREO Pathfinder) aracı, SpaceX'in 34. ticari ikmal hizmetleri misyonu kapsamında bir SpaceX Dragon uzay aracıyla Uluslararası Uzay İstasyonu'na fırlatıldı. CLARREO Pathfinder aracı, Dünya'dan yansıyan güneş ışığını son derece hassas bir şekilde ölçmek için bir görüntüleme spektrometresi kullanıyor ve […] Bu yazı, NASA Kalibrasyon Aracının Uluslararası Uzay İstasyonu'na Fırlatılması başlığıyla NASA Bilim'de yayınlandı.