Teknoloji

Bir yapay zekâ çalışan bir zero-day exploit yazdı — Google önce yakaladı

Bir yapay zekâ çalışan bir zero-day exploit yazdı — Google önce yakaladı
Susan Hill
13 Mayıs 2026 - 19:03

Saldırı, iki faktörlü kimlik doğrulamayı hedef alıyordu — e-postadan bankaya, bulut depolamadan iş hesaplarına kadar önem verdiğimiz çoğu hesabı koruyan ek doğrulama adımı. Aracın Python kodundaki anlamsal bir mantık hatası olan açık, kimlik bilgilerini çoktan ele geçirmiş bir saldırganın 2FA kontrolünü, geliştiricilerin asla görünür olmasını istemediği sabit kodlanmış bir istisnayı tetikleyerek aşmasına olanak veriyordu. Google hatayı tespit etti, yamanması için satıcıya bildirdi ve planlanan saldırıyı başlamadan etkisiz hâle getirdi. Bu keşfi ilk yapan şey hatanın kendisi değil, bulunma biçimi.

Google analistleri saldırı kodunun büyük bir dil modelinin yanılmaz izlerini taşıdığını söylüyor: eğitim üslubunda docstring’ler, son derece yapılandırılmış biçimlendirme ve LLM eğitim verilerinin son derece tipik özelliği olarak tanımladıkları bir yazım üslubu. Ekip, keşif ve silahlandırma işinin ana yükünü tek başına çalışan bir insanın değil, bir yapay zekânın taşıdığı sonucuna yüksek güvenle vardı. Etkilenen şirket, suç çetesi ve aracın adı hâlâ açıklanmadı.

Bu ayrım önemli, çünkü bulunan hata makinelerin tam da bulamayacağı varsayılan türden. Klasik tarayıcılar çöküşler ve bellek bozulmaları arar. Bu olay, 2FA dayatma mantığı ile sabit kodlanmış bir istisna arasındaki çelişkiydi — dikkatli bir denetçinin tutarsızlık arayarak binlerce satır kodu okuyup yakalayabileceği türden bir hata. Google, en gelişmiş dil modellerinin bu tür bağlamsal okumayı, hiçbir denetim ekibinin yetişemeyeceği hızlarda giderek daha iyi yaptığını belirtiyor.

Yöneten Hayalet: Otonom Yapay Zeka, Onu Dizginlemek İçin Tasarlanan Sistemlerin Önüne Geçtiğinde

Rapor ayrıca suç gruplarıyla ilgisi olmayan daha geniş bir kalıbı anlatıyor. Çin yanlısı, UNC2814 olarak izlenen bir küme, gömülü cihazlardaki açıkların araştırılmasını hızlandırmak için yapay zekâ kullanıyor. APT45 adlı Kuzey Kore grubu, CVE kataloğundaki kayıtları yinelemeli biçimde analiz etmek ve kavram kanıtı saldırı kodlarını doğrulamak için bir modele binlerce tekrarlı istem besledi. Farklı operatörler, aynı teknik: modeli yorulmaz bir araştırma asistanına dönüştürmek.

Google’ın anlatımının dile getirilmesi gereken sınırları var. Şirket ne etkilenen aracı ne tehdit aktörünü ne de yama takvimini açıkladı; okurlarından, yapay zekâ izlerine ilişkin sonuca yalnızca kendi iç analizine güvenmelerini bekliyor. Bu hafta yayımlanan üçüncü taraf doğrulamaların hiçbiri, saldırı kodunun kendisi üzerinde bağımsız bir adli inceleme eklemiyor. Yüksek güven değerlendirmesi, GTIG’in sözü ile suç grubunun sessizliği arasındaki bir denklem. Şu da doğru: temeldeki hata — sabit kodlanmış bir istisna kayması — tam olarak insan geliştiricilerin onlarca yıldır herhangi bir yapay zekâ yardımı olmaksızın yaptığı türden bir gözden kaçırma. Model keşfi hızlandırmış olabilir; açık, onu bulan sistemden daha eski.

Ortalama bir kullanıcı için anlık bir adım yok — hata BT ekiplerinin yönettiği yazılımlarda, kişisel cihazlarda değil — ama temel sonuç doğrudan. Parola yöneticilerinden kurumsal tek oturum açma sistemlerine kadar güvendiğimiz savunma çevresi, insan hızında çalışan insan saldırganlara karşı tasarlandı. Yapay zekâ destekli bir saldırgan bir kod tabanını deneyimli bir mühendisin paragrafı okuduğu gibi okuyor. Savunmacıların aynısını öğrenmesi gerekecek.

Kesinleşen şu: etkilenen sağlayıcı bilgilendirildi ve yamayı dağıtıyor. Daha geniş analiz, Google Cloud’un saldırı güvenliğinde yapay zekâ kullanımını izleyen tehdit istihbaratı serisinin parçası olarak 11 Mayıs 2026’da yayımlandı. Google’ın baş tehdit analisti John Hultquist sonraki günlerde gazetecilere, yapay zekâ ile savunmacılar arasındaki yarışın yakında değil, hâlihazırda sürdüğünü söyledi. Yapay zekâ destekli araçlara ilişkin bir takip raporu, ikinci çeyrek sona ermeden bekleniyor.

Buna benzer içerikler

Yapay zekâ ile inşa edilen 380.000 uygulamanın taraması, binlercesinde hiçbir kimlik doğrulamasının bulunmadığını ortaya çıkardı

Yapay zekâ ile inşa edilen 380.000 uygulamanın taraması, binlercesinde hiçbir kimlik doğrulamasının bulunmadığını ortaya çıkardı

Suncatcher Gambiti: Google’ın Yapay Zeka Geleceğini Kazanma Planının Perde Arkası

Suncatcher Gambiti: Google’ın Yapay Zeka Geleceğini Kazanma Planının Perde Arkası

İnternetin hiç sahip olmadığı kimlik katmanı, şimdi sentetik baskı altında inşa ediliyor

İnternetin hiç sahip olmadığı kimlik katmanı, şimdi sentetik baskı altında inşa ediliyor

Yapay zeka düşünme, yazma ve işleri tamamlama biçimimizi değiştiriyor

Yapay zeka düşünme, yazma ve işleri tamamlama biçimimizi değiştiriyor

Ya girişimin sadece sen ve 10.000 bot olsaydı? Kimseyi işe almadan “unicorn” olmak

Ya girişimin sadece sen ve 10.000 bot olsaydı? Kimseyi işe almadan “unicorn” olmak

İki milyon dolarlık çalışan: yapay zeka insan emeğini mutlak bir avantaja dönüştürdüğünde

İki milyon dolarlık çalışan: yapay zeka insan emeğini mutlak bir avantaja dönüştürdüğünde

Tartışma

S kadar yorum var.