Ödül avcılığı programları, yapay zeka üretimi hayali açıklar yüzünden tıkanmaya başladı. Gerçek tehditler de bu gürültüde kayboluyor.
Son yıllarda internette giderek yayılan yapay zeka üretimi içeriklerden siber güvenlik dünyası da nasibini aldı. Özellikle ödül avcılığı programlarında yapay zeka tarafından uydurulan, ama gerçek gibi sunulan raporlar çoğalıyor. Bu tür içeriklere “AI slop” deniyor. Büyük dil modelleriyle (LLM) yazılan söz konusu sahte raporlar teknik açıdan doğruymuş gibi görünse de, detaylar incelendiğinde aslında ortada bir açık olmadığı belli.
RunSybil şirketinin CTO’su Vlad Ionescu, “Bazı raporlar ilk bakışta çok ikna edici görünüyor. Ama detaylara indiğinizde hiçbir güvenlik açığı olmadığını fark ediyorsunuz. ‘O zaman açık nerede?’ diye soruyorsunuz” dedi. Ionescu’ya göre bu durum LLM’lerin yapısı gereği her soruya olumlu yanıt vermeye çalışmasından kaynaklanıyor. Dipnot olarak RunSybil’in de AI destekli otomatik güvenlik testi araçları geliştiren bir siber güvenlik girişimi olduğunu belirtelim.
Açık kaynak geliştiricilerinden bazıları da yapay zekanın palavraları yüzünden ödül avcılığı programlarını askıya aldı. Curl gibi projelere gönderilen sahte raporlar zaman kaybına neden oluyor. Open Collective gibi platformlar ise gelen kutularının “AI çöpüyle” dolduğunu söyledi.
Bugcrowd ve HackerOne gibi büyük platformlar da durumun farkında. Bu platformlar AI destekli ön eleme sistemlerine yatırım yapıyor. HackerOne, insan ve yapay zekayı birlikte kullanan yeni bir inceleme aracı tanıttı. Sistem, sahte ve tekrarlayan raporları filtreliyor, ciddi tehditleri öne çıkarıyor.
Henüz bazı büyük firmalar sahte açık sorunuyla ciddi biçimde karşılaşmasa da, uzmanlar gelecekte AI kaynaklı yalan raporların daha da artacağını düşünüyor.
