4 posts
Anthropic'in Claude Mythos Preview yapay zekası, macOS kernel belleğinde halka açık ilk açığı keşfetti ve Mozilla Firefox'ta 271 hatayı tanımladı. Hızlı bir keşif makinesi olsa da, gerçek exploit zincirleri geliştirmek için hala insan araştırmacıların yönlendirilmesine ihtiyaç duyuyor—bu da AI güvenlik testinin gücü ve sınırlarını net bir şekilde gösteriyor.
Dünya genelindeki web sitelerinin üçte birini çalıştıran NGINX yazılımında DepthFirst AI tarafından keşfedilen CVE-2026-42945 adlı uzaktan kod çalıştırma açığı, şaşırtıcı bir soruyu gündeme getiriyor: insan güvenlik araştırmacıları neden bu kadar uzun süre göz ardı ettiler? CVSS 9.2 kritiklik puanıyla ve hiçbir kimlik doğrulaması gerektirmeden tetiklenebilen bu zafiyet, URL yeniden yazma kurallarının yaygın kullanımı nedeniyle milyonlarca sunucuyu tehdit ediyor.
Google'ın tehdit istihbaratı grubu, siber suçluların iki faktörlü kimlik doğrulamayı atlatmak için yapay zeka kullanarak otomatik olarak ürettiği bir Python betik açığını gerçek saldırıda tespit etti. Tehdit analisti John Hultquist'in uyarısına göre AI açığı yarışı artık başlamış durumda; Kuzey Kore devlet aktörü APT45 ise binlerce açık yararlanma metodunu test etmek için yapay zekadan faydalanıyor.
Google'ın yapay zeka komut satırı aracında sürüm 0.39.1'den önceki versiyonlarda, yapılandırma dosyaları hiçbir doğrulama yapılmaksızın otomatik olarak güvenilir kabul ediliyordu. Bu tasarım hatası saldırganların ortam değişkenleri üzerinden isteğe bağlı kod çalıştırmasına kapı açtı. Cursor IDE'de benzer açıkların ortaya çıkması, tek bir gerçeği gösteriyor: AI ajanlarına kod yürütme izni vermeden önce, bu komutu kimin yayınladığını doğrulamak sadece iyi bir uygulama değil, güvenlik mimarisiyle birlikte gelmesi gereken temel bir gereksinimdir.