« Tüm yayınlar

Tek Modele Bağlı Kalmadan Güvenlik Açığı Avlama Mimarisi

Project Glasswing ekibi, tekil AI modellerine bağımlı kalmadan 128 depoyu tarayan model-agnostik bir güvenlik açığı avlama harness'inin mimarisini anlatıyor.

Devam eden Project Glasswing girişiminde ekip, frontier AI modellerini kurumsal kod tabanlarında güvenlik açığı taramak için kullanırken karşılaştıkları mimari sorunları paylaşıyor. Temel tez şu: tek bir modele veya tek ajanlı oturumlara dayalı sistemler, bağlam penceresi dolduğunda hafızasını kaybediyor, çökme durumunda işi baştan başlatıyor ve depolar arası bağımlılıkları göremiyor. Çözüm olarak modelleri birbiriyle değiştirilebilir bileşenler gibi ele alan, keşif ve doğrulama aşamalarında farklı modeller kullanan bir harness mimarisi öneriliyor.

Ekip, yaklaşık 450 satırlık bir güvenlik denetim betiğiyle başlayıp bunu yedi aşamalı bir sürece (keşif, saldırı, doğrulama, raporlama, şema kontrolü, bağımsız yeniden doğrulama) dönüştürmüş. Bu betik tek başına çalıştırıldığında hataların yalnızca yarısını buluyordu; asıl kazanım, durumu dışsallaştırıp LLM'i durumsuz bir hesaplama motoru gibi kullanarak bağlam tükenmesi, kalıcılık ve depolar arası akıl yürütme sorunlarını çözen bir orkestrasyon katmanı kurmaktan geldi. Altı hafta içinde bu betik, 128 farklı depoyu dile özgü ayar gerektirmeden tarayabilen, bağımlılıkları otomatik izleyen bir filo tarayıcısına dönüştürülmüş.

Sonuç olarak sistem, Vulnerability Discovery Harness (VDH) ve Vulnerability Validation System (VVS) adlı iki aşamalı bir çerçeveye oturuyor. Mühendisler için asıl ders, harness'i modelden bağımsız tasarlamanın; binlerce ham bulguyu güvenilir, önceliklendirilmiş bir düzeltme kuyruğuna indirgeyen kalıcı, tekrarlanabilir ve tekilleştirilmiş bir mimarinin, hangi model öne çıkarsa çıksın uzun vadede işe yarayan tek yaklaşım olduğu.