Google AI Ajanı, Sömürülmeden Önce Kritik SQLite Açığını Ortaya Çıkardı

AnaSayfaHaberler* Google, AI destekli çerçevesini kullanarak, açık kaynaklı SQLite veritabanında yaygın bir şekilde istismar edilmeden önce büyük bir güvenlik açığını tespit etti.

• Açık, CVE-2025-6965 olarak kaydedilen, 3.50.2'den önceki sürümleri etkileyen bir bellek bozulması güvenlik açığıdır.
• AI ajanı "Büyük Uyku" olarak adlandırıldı, tehdidi tanımladı ve muhtemelen onu istismar etme girişimlerini durdurdu.
• Google, zayıflıklardan ve kötü niyetli eylemlerden kaynaklanan riskleri azaltmaya yardımcı olmak için AI ajanları için hibrit bir güvenlik yaklaşımını teşvik ediyor.
• Bu, bir AI ajanının gerçek dünya istismarından önce bir güvenlik açığını durdurduğu belgelenmiş ilk vaka olarak kaydedilmektedir. 16 Temmuz 2025'te, Google AI tabanlı zafiyet tespit sisteminin saldırganlar bu zafiyeti istismar etmeden önce SQLite veritabanı motorunda kritik bir hata tespit ettiğini açıkladı. Bulgu, CVE-2025-6965 olarak etiketlenen bir sorunu içeriyordu ve Google DeepMind ile Google Project Zero arasındaki işbirliğiyle oluşturulan "Big Sleep" adlı bir AI ajanı tarafından bulundu.

• Reklam - Bu güvenlik açığı 7.2 CVSS puanı aldı, bu da ciddi bir riski işaret ediyor. SQLite proje yöneticilerine göre, zararlı SQL kodu enjekte edebilen saldırganlar, bir tam sayı taşmasına neden olabilir ve bir dizinin sınırlarının ötesinde okumalar yaparak öngörülemeyen davranışlara veya veri sızıntılarına yol açabilir. 3.50.2 sürümünden önceki tüm SQLite sürümleri etkilenmektedir.

Google, bu güvenlik açığını kritik olarak tanımladı ve tehdit aktörlerinin bunun farkında olduğunu ve bunu istismar edebileceğini belirtti. "Tehdit istihbaratı ve Big Sleep'in kombinasyonu sayesinde, Google, bir zayıflığın hemen kullanılacağını tahmin etmeyi başardı ve biz bunu önceden engelleyebildik," dedi Google ve Alphabet'in Küresel İşler Başkanı Kent Walker, resmi bir açıklamada. Ayrıca, "Bunun, bir AI ajanının sahada bir zayıflığı istismar etme çabalarını doğrudan boşa çıkarmak için kullanıldığı ilk sefer olduğunu düşünüyoruz," dedi.

Geçen yıl, Big Sleep ayrıca çökmesine veya saldırganların rastgele kod çalıştırmasına neden olabilecek ayrı bir SQLite zayıflığını—bir yığın tampon alt akışını—tespit etti. Bu olaylara yanıt olarak, Google, AI ajanları için net insan kontrolleri ve katı operasyonel sınırlar öneren bir beyaz kağıt yayınladı.

Google, geleneksel yazılım güvenlik kontrollerinin yeterli olmadığını, çünkü AI ajanları için gerekli olan bağlamı sağlamadığını söylüyor. Aynı zamanda, yalnızca AI'nın yargısına dayalı güvenlik, prompt injection gibi zayıflıklar nedeniyle güçlü garantiler sunmuyor. Bunu ele almak için Google, geleneksel korumalar ve AI destekli savunmaları harmanlayan çok katmanlı, "derinlikte savunma" yaklaşımını kullanıyor. Bu katmanlar, ajanın iç süreci tehditler veya beklenmedik girdiler tarafından manipüle edilse bile, saldırılardan kaynaklanan riskleri azaltmayı hedefliyor.

Önceki Makaleler:

• Trader James Wynn, Hyperliquid'e 20M Dolarlık Bitcoin Bahsiyle Dönüyor
• Canton Ağı, Zincir Üstü Teminat için En İyi Likidite Şirketlerini Ekliyor
• Nexo, Protokol Değişikliklerinin Ardından AXS Esnek Tasarruf Oranlarını Kesiyor
• DEA, Florida'daki uyuşturucu baskınları sırasında Sinaloa Karteli'ne ait 10 milyon dolar değerinde kripto para ele geçirdi
• Hong Kong LEAP Çerçevesini Tanıttı, Küresel Kripto Kurallarını Belirledi

• Reklam -