« Tüm yayınlar

Yapay Zeka, Cloudflare'in CIRCL Kütüphanesinde 7 Hata Buldu

zkSecurity'nin AI denetim aracı Cloudflare'in CIRCL kütüphanesinde 7 kritik hata buldu; hepsi düzeltildi, çoğu HackerOne'da ödüllendirildi.

zkSecurity, geliştirmekte olduğu otonom denetim ajanı zkao'yu Cloudflare'in gelişmiş ve post-kuantum kriptografi kütüphanesi CIRCL üzerinde çalıştırarak yedi gerçek zafiyet tespit etti. Bulguların tamamı upstream'de düzeltildi, çoğu ise Cloudflare'in HackerOne programında doğrulanıp ödüllendirildi. Bu, ekibin açık kaynak kriptografi projelerinde AI ile bulunan hataları paylaşacağı serinin ilk yazısı.

Ekip, iki farklı yapılandırma denedi: sade bir istemle çalışan LLM'ler ve zkSecurity uzmanlarının hazırladığı "skill" setleriyle desteklenen LLM'ler. Ardından aynı kod tabanında zkao'yu bağımsız çalıştırdıklarında, aracın önceki bulguların tamamını yakaladığı, hatta daha karmaşık ve ciddi sorunları da bulduğu görüldü. Ancak AI çıktıları sadece aday bulgu niteliğinde; sömürülebilirliğin doğrulanması, kanıt kodunun sadeleştirilmesi ve açıklama sürecinin yönetilmesi hâlâ insan denetimi gerektiriyor.

Öne çıkan bulgular arasında eşik RSA'da float64 hassasiyet kaybı (AI kritik, Cloudflare düşük olarak değerlendirdi), verifier yerine kanıtlayıcının belirlediği güvenlik parametresiyle sahtelenebilen bir DLEQ ispatı, ve BLS toplu imza doğrulamasında mesaj farklılığı kontrolünün eksik olması sayılabilir; bu sonuncusu klasik bir 'rogue key' saldırısına yol açıyor ve AI'nın ciddiyetini olduğundan düşük (orta) değerlendirdiği tek örnek. zkao'nun kendi bulduğu CP-ABE erişim kontrolü kırılması ise hem AI hem Cloudflare tarafından kritik olarak sınıflandırıldı.

Raporda vurgulanan önemli nokta, AI'nın kendi bulgusuna verdiği ciddiyet derecesiyle Cloudflare'in nihai değerlendirmesi arasındaki tutarsızlık; bu durum, otomatik güvenlik araçlarının öz-değerlendirmesinin gürültülü olabileceğini ve insan doğrulamasının neden hâlâ vazgeçilmez olduğunu gösteriyor.

» KaynakHashnode #8