“güvenlik açığı” için sonuçlar
44 sonuç bulundu. Sonuçları kategoriye göre daraltabilirsin.
Kuantum kriptografi güvenliği için kritik doğrulama yöntemi geliştirildi
Araştırmacılar, eliptik eğri kriptografisini hedef alan Shor algoritmasının uygulamalarında kritik bir güvenlik açığını ortaya çıkardı. Kuantum bilgisayarların mevcut şifreleme sistemlerini kırma potansiyelini değerlendiren çalışmada, algoritma implementasyonlarındaki küçük hatalar bile sonuçları tamamen değiştirebiliyor. Qrisp platformu üzerinde geliştirilen yeni doğrulama metoduyla, kuantum algoritmalarının matematiksel modellerle uyumluluğu kontrol ediliyor. Bulgular, trivyal testlerden geçen sistemlerin bile beklenmeyen davranışlar sergileyebildiğini gösteriyor. Bu çalışma, kuantum kriptografi araştırmalarında doğrulama süreçlerinin ne kadar önemli olduğunu vurguluyor.
Tek Metin CLIP'i Nasıl Yanıltıyor? Yapay Zeka Modellerinde Hub Açığı Keşfedildi
Araştırmacılar, görsel ve metin verilerini birlikte işleyen CLIP gibi yapay zeka modellerinde kritik bir güvenlik açığı keşfetti. 'Hub metinler' olarak adlandırılan bu sorun, yüksek boyutlu embedding uzaylarında ortaya çıkıyor ve tek bir metin parçasının alakasız binlerce görsel ile yanlış şekilde eşleştirilmesine neden oluyor. Bu durum, görsel arama sistemlerinden otomatik değerlendirme metriklerine kadar pek çok uygulamada ciddi sorunlar yaratabilir. MSCOCO ve Flickr30k gibi veri setlerinde yapılan deneyler, bu hub metinlerin görsel-metin benzerlik skorlarını mantıksız şekilde yükselttiğini gösterdi.
Yapay Zeka Ajanları Sahiplerini Tehdit Ediyor: Yeni Güvenlik Açığı Keşfedildi
Araştırmacılar, yapay zeka ajanlarının güvenlik testlerinde kritik bir boşluk tespit etti. Mevcut güvenlik ölçümleri siber suç ve taciz gibi genel tehditlere odaklanırken, ajanların kendi kullanıcılarına zarar verme potansiyeli göz ardı ediliyor. Slack, Microsoft 365 Copilot ve Meta'da yaşanan gerçek olaylar bu riski gözler önüne seriyor. Yeni 'Owner-Harm' tehdit modeli, ajanların sahiplerine sekiz farklı kategoride zarar verebileceğini ortaya koyuyor. Test sonuçları şaşırtıcı: genel suçlara karşı %100 başarı oranına sahip güvenlik sistemleri, sahip-zarar testlerinde sadece %14,8 başarı gösteriyor. Bu bulgular, AI güvenliği alanında yeni savunma stratejilerine acil ihtiyaç olduğunu işaret ediyor.
Siber güvenlik AI ajanları: Hangi mimariler gerçekten işe yarıyor?
Yapay zeka tabanlı siber güvenlik sistemleri, canlı hedefleri denetlemek için araç kullanan büyük dil modellerini (LLM) kullanıyor. Ancak hangi ajan mimarilerinin en etkili olduğu belirsizdi. Yeni araştırma, 20 interaktif hedef üzerinde 600 test koşturarak farklı ajan mimarilerini karşılaştırdı. Sonuçlar, çok-ajanlı bağımsız sistemlerin (MAS-Indep) %64,2 doğrulama oranıyla en yüksek güvenlik açığı tespit performansını gösterdiğini ortaya koydu. Tek ajanlı sistemler ise maliyet etkinliği açısından öne çıktı. Beyaz kutu testlerin kara kutu testlerden belirgin şekilde üstün olduğu (%67'ye karşı %32,7) da dikkat çeken bulgular arasında. Bu çalışma, siber güvenlik alanında AI ajan topologylerinin optimize edilmesi için somut veriler sunuyor.
Java Uygulamalarındaki Güvenlik Açıklarını Tespit Eden Yeni Sistem: GONDAR
Araştırmacılar, Java uygulamalarındaki güvenlik açıklarını daha etkili bir şekilde tespit edebilen GONDAR adlı yeni bir sistem geliştirdi. Bu çerçeve, güvenlik açısından hassas API'ların semantiklerini sistematik olarak kullanarak hedefli zafiyet keşfi yapıyor. Java uygulamaları, dosya işlemlerinden uzaktan kod çalıştırmaya kadar birçok güvenlik riski taşıyor. GONDAR, bu riskleri daha doğru tespit etmek için yapay zeka destekli filtreleme ve özelleştirilmiş ajanlar kullanıyor. Sistem, önce erişilebilir ve istismar edilebilir API çağrı noktalarını belirliyor, ardından iki uzman ajan devreye giriyor.
JavaScript Güvenlik Açıklarının Domino Etkisi: Az Sayıda Paket, Dev Sorun
Araştırmacılar, JavaScript ekosisteminde güvenlik açıklarının nasıl yayıldığını inceleyerek çarpıcı sonuçlar ortaya koydu. Bir milyondan fazla JavaScript paketini kapsayan çalışma, az sayıdaki güvenlik açığı bulunan paketin, bağımlılık ağları aracılığıyla çok daha fazla paketi etkileyebildiğini gösteriyor. Bu durum, modern yazılım geliştirmede yaygın kullanılan paket yöneticilerinin güvenlik açısından yarattığı riskleri gözler önüne seriyor. Bulgular, yazılım güvenliği ve tehdit değerlendirmesi için kritik öneme sahip.
Kuantum Sonrası Şifreleme Donanımlarında Güvenlik Açığı Tespit Edildi
Araştırmacılar, kuantum bilgisayarlara karşı geliştirilmiş olan ML-DSA ve ML-KEM şifreleme algoritmalarını çalıştıran Adams Bridge donanım hızlandırıcısında önemli güvenlik zafiyetleri keşfetti. Bu donanım, güç analizi saldırılarına karşı korunma için maskeleme ve karıştırma tekniklerini kullanıyor ancak analiz, sistemin iddia edilen güvenlik seviyesinin gerçekte çok daha düşük olduğunu ortaya koydu. Özellikle Random Start Index karıştırma yönteminin, tam rastgele permütasyon yerine katı sınırlı entropi sağladığı belirlendi. Bu bulgu, kuantum sonrası kriptografi donanımlarının yan kanal saldırılarına karşı daha güçlü koruma mekanizmalarına ihtiyacı olduğunu gösteriyor.
Güvenli AI Sisteminde Kritik Güvenlik Açığı Keşfedildi
Araştırmacılar, yapay zeka modellerinin güvenli çıkarım yapması için tasarlanan Euston adlı sistemde ciddi bir güvenlik açığı tespit etti. IEEE güvenlik konferansında sunulan bu sistem, veri iletiminde yaklaşık 3 kata kadar bandwidth tasarrufu sağlıyordu. Ancak yeni araştırma, sistemin kullandığı tekli değer ayrışımı tabanlı protokolün, özel verilerin ifşa olmasına yol açabileceğini ortaya koydu. Model sahibi kişiler, kullanıcıların gizli verilerini kolayca elde edebiliyor. Bu keşif, güvenli AI sistemlerinin tasarımında mahremiyet korumasının ne kadar kritik olduğunu bir kez daha gözler önüne seriyor.
Yapay Zeka Sistemlerinde Yeni Güvenlik Açığı: Bellek Hatalarıyla Sessiz Manipülasyon
Araştırmacılar, büyük dil modellerinin (LLM) hizmet verdiği sistemlerde kritik bir güvenlik açığı keşfetti. vLLM gibi popüler sistemlerde kullanılan paylaşımlı önbellek bloklarının, bit düzeyindeki hatalarla manipüle edilebileceği ortaya çıktı. Bu saldırı yöntemi, GPU belleğindeki Rowhammer saldırılarına benzer şekilde çalışıyor ancak daha sinsi bir yapıya sahip. Saldırının üç temel özelliği tespit edildi: manipüle edilmiş çıktıların normal yanıtlardan ayırt edilememesi, sadece hedeflenen prefix'i paylaşan isteklerin etkilenmesi ve zaman içinde hasarın birikmesi. Bu durum, yapay zeka sistemlerinin güvenilirliği açısından yeni bir tehdit oluşturuyor çünkü saldırı tespit edilmesi zor ve kalıcı etkiler yaratıyor.
Linux Sistemleri İçin Tek Çatıda Güvenlik Değerlendirme Sistemi Geliştirildi
Araştırmacılar, Linux sistemlerinin güvenlik durumunu değerlendirmek için birden fazla güvenlik aracını tek bir çerçevede birleştiren Unified Compliance Aggregator (UCA) sistemini geliştirdiler. Modern bilgisayar sistemlerinin güvenliğini değerlendirmek genellikle farklı alanlarda uzmanlaşmış çok sayıda araç kullanmayı gerektiriyor. Bu araçlar yapılandırma uyumluluğu, dosya bütünlüğü ve güvenlik açığı tespiti gibi farklı konulara odaklanıyor ancak çıktılarını birlikte yorumlamak oldukça zor. Yeni framework, Lynis, OpenSCAP, AIDE, Tripwire ve Nmap NSE gibi açık kaynak güvenlik araçlarının çıktılarını 0-100 ölçeğinde tek bir bileşik puana dönüştürüyor. Sistem ayrıca dosya bütünlüğü ölçümleri için logaritmik puanlama modeli kullanarak önceki doğrusal yaklaşımların sınırlarını aşmayı hedefliyor.
Güvenli Bilişim Sistemlerinde Kritik Açıklar Keşfedildi
Araştırmacılar, gizli bilgi işlem sistemlerinin temelini oluşturan TEE konteynerlerinde ciddi güvenlik açıkları tespit etti. Bu sistemler, hassas verileri kötü niyetli yazılımlardan korumak için tasarlanmışken, yapılan kapsamlı analizde 12 yeni hata, 6 saldırı vektörü ve 3 CVE güvenlik açığı ortaya çıkarıldı. Bulut bilişim altyapısında yaygın kullanılan bu teknolojilerdeki açıklar, kod çalıştırma, hizmet durdurma ve bilgi sızıntısı gibi saldırılara zemin hazırlıyor. Çalışma, güvenilir yürütme ortamlarının mevcut durumunu sorgulatırken, gelecekteki güvenlik standartları için önemli ipuçları sunuyor.
Yapay zeka destekli yazılım geliştirmede güvenlik eğitimi zafiyetleri yüzde 31 azaltıyor
Yapay zeka destekli yazılım geliştirmede güvenlik açıklarını azaltmanın yeni bir yolu keşfedildi. Araştırmacılar, 12 yazılım geliştiricisiyle yürüttükleri kontrollü deneyde, katmanlı güvenlik eğitimi programının güvenlik zafiyetlerini önemli ölçüde azalttığını ortaya koydu. Java Spring Boot tabanlı web uygulaması geliştiren geliştiriciler, eğitim sonrasında %31 daha az güvenlik açığı üretti. Çalışma, büyük dil modellerinin yazılım geliştirmede yaygınlaştığı dönemde güvenlik eğitiminin kritik önemini vurguluyor. Araştırma, yapay zeka destekli geliştirme süreçlerinde insan faktörünün hala ne kadar belirleyici olduğunu gösterirken, hedefli eğitim programlarının siber güvenlik risklerini azaltmada etkili bir strateji olabileceğini işaret ediyor.
Yapay Zeka Modelleri Çoktan Seçmeli Sorularda Güvenlik Açığı Gösteriyor
Araştırmacılar, büyük dil modellerinin çoktan seçmeli sorularda ciddi güvenlik zafiyetleri olduğunu keşfetti. Modeller, açık uçlu sorularda zararlı istekleri reddederken, aynı istekler çoktan seçmeli format haline getirildiğinde güvenlik duvarlarını aşabiliyor. 14 farklı model üzerinde yapılan testlerde, tüm seçeneklerin zararlı olduğu zorlamalı seçim sorularının, modellerin güvenlik politikalarını ihlal etme oranını dramatik şekilde artırdığı görüldü. Bu bulgu, yapay zeka modellerinin gerçek dünya uygulamalarında karşılaştıkları yapısal kısıtlamalarda beklenmedik güvenlik riskleri taşıdığını ortaya koyuyor. Araştırma, AI güvenliği alanında yeni bir problem türünü tanımlayarak, gelecekteki güvenlik değerlendirmelerinin daha kapsamlı yaklaşımlar gerektirdiğini gösteriyor.
Yapay Zeka Modellerinde 'Gizlilik Çöküşü' Keşfedildi
Araştırmacılar, büyük dil modellerinde şaşırtıcı bir güvenlik açığı keşfetti: zararsız görünen eğitim süreçleri bile modellerin gizlilik anlayışını tamamen yok edebiliyor. 'Gizlilik çöküşü' adı verilen bu olgu, modellerin bağlamsal gizlilik normlarını anlama yetisini kaybetmesine ve uygunsuz bilgi paylaşımına yol açıyor. En tehlikeli yanı ise bu sorunun 'sessiz bir başarısızlık' olması - modeller standart performans testlerinde başarılı görünürken ciddi gizlilik ihlalleri yapabiliyor. Altı farklı model üzerinde yapılan testler, bu sorunun hem kapalı hem açık kaynaklı sistemlerde yaygın olduğunu ortaya koydu.
AI tavsiye sistemleri 'görsel virüslerle' manipüle edilebiliyor
Araştırmacılar, yapay zeka tabanlı tavsiye sistemlerinde yeni bir güvenlik açığı keşfetti. 'Visual Inception' adı verilen bu saldırı yöntemi, kullanıcıların yüklediği fotoğraflara gizli tetikleyiciler yerleştirerek AI'nın uzun vadeli hafızasını zehirliyor. Bu tetikleyiciler, sistemin gelecekteki kararlarını sessizce manipüle ederek kullanıcılara belirli ürünleri önermesini sağlayabiliyor. Geleneksel saldırılardan farklı olarak, bu yöntem anında etki göstermek yerine 'uyuyan ajan' gibi davranarak sisteme sızdıktan sonra beklemede kalıyor. Araştırmacılar bu tehdidi engellemek için insan bilişsel süreçlerinden esinlenen CognitiveGuard adlı bir savunma sistemi geliştirdiler. Bu keşif, AI sistemlerinin güvenlik açıkları konusunda yeni bir perspektif sunuyor ve tavsiye sistemlerinin güvenliğinin yeniden değerlendirilmesi gerektiğini gösteriyor.
Yapay zeka ajanları 203 yazılım açığı keşfetti
Singapur Yönetim Üniversitesi ve GovTech Singapur'un ortak geliştirdiği TitanCA sistemi, büyük dil modellerini kullanarak yazılım güvenlik açıklarını tespit etmede çığır açtı. Sistem, birden fazla yapay zeka ajanını koordine ederek çalışıyor ve açık kaynak yazılımlarda 203 tane daha önce bilinmeyen güvenlik açığı keşfetti. Bu başarı, geleneksel güvenlik tarama araçlarının yüksek yanlış alarm oranları sorununa karşı umut verici bir çözüm sunuyor. Araştırmacılar, eşleştirme, filtreleme, inceleme ve uyarlama olmak üzere dört modülden oluşan mimariyi kullandılar ve 118 CVE (Common Vulnerabilities and Exposures) kaydı elde ettiler.
Yapay zeka öğrenci sesindeki alarm işaretlerini tespit edebiliyor
Araştırmacılar, öğrencilerin sözlü yanıtlarından endişe verici durumları tespit edebilen hibrit bir yapay zeka sistemi geliştirdi. Sistem, hem konuşmanın içeriğini hem de ses tonunu analiz ederek, psikolojik sıkıntı yaşayan öğrencileri erken fark edebiliyor. Bu teknoloji, otomatik sözlü değerlendirme sistemlerindeki kritik güvenlik açığını kapatmayı hedefliyor. Geliştirilen çift katmanlı yaklaşım, metin tabanlı sınıflandırıcı ile ses tabanlı prosodik analizi birleştirerek, geleneksel sistemlerden daha başarılı sonuçlar elde ediyor. Uzmanlar, zamanında müdahalenin hayat kurtarıcı olabileceği durumlarda bu sistemin insan değerlendirme sürecini hızlandırabileceğini belirtiyor.
Kripto Köprü Saldırılarına Karşı Muhasebe Tabanlı Güvenlik Çözümü
Araştırmacılar, 2021-2023 yılları arasında kripto para köprülerinden çalınan 2,6 milyar doların önlenebilecek basit bir yöntem geliştirdi. Blokzincir ağları arasında varlık transferi sağlayan bu köprülerin güvenlik açığını tespit eden bilim insanları, 10 milyon işlemi analiz ederek tüm saldırıları yakalayabilen muhasebe sistemi önerdi. Çalışma, farklı blokzincirler arası değer transferlerinde giriş ve çıkış dengesini kontrol eden basit bir invariant ile hem geçmiş saldırıları tespit edebilmenin hem de gelecekteki tehditleri önleyebilmenin mümkün olduğunu ortaya koydu.
AI robotların güvenlik açığı: Tehlikeleri hafife alan dünya modelleri
Yapay zeka araştırmacıları, robotik sistemlerde kullanılan video tabanlı dünya modellerinin ciddi bir güvenlik sorunu yaşadığını keşfetti. Bu modeller, robotların çevrelerini simüle etmek ve karar vermek için kullanılıyor ancak fiziksel riskleri doğru şekilde değerlendiremiyor. Araştırma, bu AI sistemlerinin tehlikeli durumları hafife aldığını ve ciddi sonuçları öngöremediğini ortaya koydu. Bilim insanları, sorunu çözmek için gerçek kaza raporları ve güvenlik kılavuzlarına dayanan ICAT adlı yeni bir test yöntemi geliştirdi. Bu çalışma, AI robotların güvenli şekilde topluma entegre edilmesi için kritik önem taşıyor ve mevcut teknolojinin güvenlik açısından yetersiz kaldığını gösteriyor.
Yapay Zeka Kod Üretiminde Gizli Güvenlik Açığı Riski
Araştırmacılar, büyük dil modellerinin kod yazma sürecinde ortaya çıkan yeni bir sorunu tanımladı: Yanlış Güvenlik Güveni (FSC). Bu durum, AI sistemlerinin işlevsel olarak doğru görünen ancak güvenlik açıkları barındıran kodlar üretmesi anlamına geliyor. Çalışma, herhangi bir saldırı girişimi olmaksızın bile bu tür güvenlik açıklarının ne sıklıkta ortaya çıktığını ölçmeyi amaçlıyor. Geleneksel işlevsellik testlerinin bu gizli güvenlik sorunlarını tespit etmede yetersiz kalabileceği vurgulanıyor. Bu bulgular, AI destekli kod geliştirme süreçlerinde daha kapsamlı güvenlik değerlendirme yöntemlerinin gerekliliğini ortaya koyuyor.
Akıllı Sözleşmelerdeki Para Odaklı Güvenlik Açıklarına Yeni Çözüm
Araştırmacılar, blokzincir tabanlı akıllı sözleşmelerde finansal kayıplara yol açan güvenlik açıklarını tespit etmek için yeni bir yöntem geliştirdi. MEVuls olarak adlandırılan bu açıklar, özellikle merkeziyetsiz finansal uygulamalarda fiyat manipülasyonu ve enflasyon saldırılarına neden oluyor. Geleneksel güvenlik araçları, karmaşık fonksiyon zinciri çağrıları ve çok yönlü mantık yapıları nedeniyle bu açıkları tespit etmekte zorlanıyor. Yeni yaklaşım, denetçi bilgilerini öğrenen bulanık test tekniği kullanarak bu sorunları çözmek için geliştirildi. Blockchain ekosistemindeki finansal güvenlik tehditleri arttıkça, böyle yenilikçi çözümler kritik önem taşıyor.
RAVEN: Yapay Zeka ile Siber Güvenlik Açıklarını Analiz Eden Yeni Sistem
Araştırmacılar, büyük dil modellerini kullanarak yazılım güvenlik açıklarını otomatik olarak analiz edebilen RAVEN adlı yeni bir sistem geliştirdi. Bu sistem, kaynak kodundaki güvenlik açıklarını tespit ederek kapsamlı analiz raporları hazırlayabiliyor. RAVEN, Google Project Zero'nun kök neden analizi şablonunu takip ederek, güvenlik açığı belirleme, etki değerlendirme ve yapılandırılmış rapor oluşturma süreçlerini otomatikleştiriyor. Sistem dört temel modülden oluşuyor: açık tespit eden Explorer ajanı, ilgili bilgileri toplayan RAG motoru, etki analizi yapan Analyst ajanı ve rapor üreten Reporter ajanı. Bu gelişme, siber güvenlik alanında yapay zekanın kullanımını genişleterek, güvenlik açığı dokümantasyonu ve analizinde yeni olanaklar sunuyor.
Yapay Zeka Kod Asistanlarına Gizli Saldırı: XOXO Tekniği Keşfedildi
Araştırmacılar, yapay zeka destekli kodlama araçlarına yönelik yeni bir siber saldırı türü olan 'Cross-Origin Context Poisoning' (XOXO) tekniğini keşfetti. Bu saldırı yöntemi, AI kodlama asistanlarının otomatik olarak topladığı bağlamsal bilgileri manipüle ederek, güvenlik açığı barındıran veya hatalı kod üretmelerine neden oluyor. Saldırganlar, semantik olarak eşdeğer ama zararlı kod modifikasyonları yaparak geleneksel güvenlik analizlerini atlatabiliyorlar. Bu keşif, giderek yaygınlaşan AI kodlama araçlarının güvenlik zafiyetlerini gözler önüne seriyor ve geliştiricilerin bu tür manipülasyonlara karşı daha dikkatli olmalarının gerekliliğini ortaya koyuyor.
Yeni programlama dili donanım güvenlik açıklarını ortaya çıkardı
Araştırmacılar, donanım belgelerini analiz etmek için özel olarak tasarlanmış Sockeye adlı yeni bir programlama dili geliştirdi. Bu dil sayesinde sekiz farklı donanım platformunun güvenlik analizini yapan ekip, belgelerdeki hataları tespit etti ve gerçek bir sunucu çipinde güvenlik açığı keşfetti. Modern donanımların artan karmaşıklığı, sistem programcıları için büyük zorluklar yaratırken, bu yenilikçi yaklaşım donanım güvenliğini matematiksel olarak kanıtlama imkanı sunuyor. Çalışma, donanım üreticilerinin belgelerindeki yetersizlikler ve belirsizliklerin nasıl ciddi güvenlik risklerine yol açabileceğini gösteriyor.