2025 yılında ZAST.AI, Microsoft Azure SDK, Apache Struts XWork, Alibaba Nacos gibi yaygın kullanılan açık kaynak projelerde yüzlerce sıfır-gün (zero-day) güvenlik açığı tespit etti. Bu açıklar VulDB gibi güvenlik platformlarına bildirildi ve 119 adet CVE numarası ile kayıt altına alındı. Bulunan güvenlik açıkları, laboratuvar ortamı değil, gerçek dünya üretim sistemlerinde kullanılan kodlarda yer almaktadır.
Yapay Zeka ile Doğrulanmış Güvenlik Açıkları
ZAST.AI’nın yenilikçi yaklaşımı, sadece statik analiz yapmakla kalmayıp, otomatik olarak Kanıt-Kavramı (Proof of Concept – PoC) kodu üretip bu PoC’yi çalıştırarak açığın gerçekliğini doğrulamasıdır. Bu sayede, geleneksel araçların yüksek yanlış pozitif oranı sorunu ortadan kalkmakta ve güvenlik ekipleri sadece gerçek ve sömürülebilir açıklarla ilgilenmektedir. Kurucu ortak Geng Yang, “Rapor ucuzdur, bana PoC göster!” prensibiyle hareket ettiklerini belirtti.
Hangi Güvenlik Açıkları Tespit Ediliyor?
ZAST.AI, SQL Injection, XSS, Güvensiz Serileştirme ve SSRF gibi sözdizimi seviyesindeki açıkların yanı sıra, IDOR, ayrıcalık yükseltme ve ödeme mantığı hataları gibi karmaşık iş mantığı açıklarını da tespit edebilmektedir. Bu, MITRE ATT&CK matrisinde yer alan çeşitli saldırı tekniklerine karşı derinlemesine analiz yapılmasını sağlar. Ayrıca, yapay zeka destekli bu sistem, yanlış pozitif oranını %60’ın altına çekerek SOC ekiplerinin verimliliğini artırır.
Kurumsal Müşteriler ve Yatırımın Kullanım Alanları
Fortune Global 500 şirketleri de dahil olmak üzere birçok kurumsal müşteri, ZAST.AI’nın otomatik PoC doğrulama teknolojisini kullanarak güvenlik açığı yönetim süreçlerini hızlandırmakta ve maliyetlerini düşürmektedir. Yeni alınan 6 milyon dolarlık yatırım, Ar-Ge faaliyetleri, ürün geliştirme ve küresel pazarlama için kullanılacaktır.
Teknik Özet: ZAST.AI’nın Çalışma Prensibi
- Gelişmiş yapay zeka algoritmaları ile derin kod analizi
- Otomatik PoC oluşturma ve çalıştırma ile gerçek açığın doğrulanması
- Desteklenen güvenlik açıkları: SQLi, XSS, SSRF, IDOR, ayrıcalık yükseltme, ödeme mantığı hataları
- Yanlış pozitif oranının minimize edilmesi
- Kurumsal ortamlarda güvenlik açığı yönetim süreçlerinin hızlandırılması
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- Güvenlik açığı tarama araçlarını yapay zeka destekli doğrulama özellikleriyle entegre edin.
- PoC destekli raporlar üzerinden önceliklendirme yaparak müdahale süresini kısaltın.
- EDR ve SIEM sistemlerinde otomatik uyarı kuralları oluşturun.
- Ağ segmentasyonu ve Zero Trust mimarisi ile risk alanlarını sınırlandırın.
- Yama yönetimini düzenli ve hızlı şekilde uygulayın.
- Olay müdahale planlarını PoC doğrulamalı açığa göre güncelleyin.
- E-posta güvenliği ve bulut güvenliği politikalarını güçlendirin.
- Yanlış pozitifleri azaltmak için analiz süreçlerini optimize edin.
ZAST.AI’nın geliştirdiği bu teknoloji, güvenlik açığı yönetiminde yeni bir standart belirleyerek, özellikle karmaşık iş mantığı açıklarının otomatik tespiti ve doğrulanmasında önemli bir rol oynuyor. Bu yaklaşım, güvenlik operasyonlarının etkinliğini artırırken, kaynakların daha verimli kullanılmasını sağlıyor.