Neler yeni
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Bakılmayan Raporlar VS Yapay zeka

YOHOHOHOHOHO

Usta Avcı
Katılım
11 Ocak 2026
Mesajlar
127
Tepkime puanı
33
Puan
28
Herkese selam ,

Neredeyse son bir aydır max 2 haftada bakılan raporuma şuan ise 1 ayı geçti 2. aya giricez hala bakmadılar.
Ve 4 tane raporum var hepsi aynı,

Bu raporun unutulma ihtimali yoktur herhalde ne kadar any update yazsamda dönüş yok , Bildiğim kadarı ile yapay zeka ile zafiyet arayanlar fazla olduğu için triage ekibi yetişemiyor diye biliyorum

Ve yapay zeka ile recon veya buna benzer şeyler yapan veya yapay zeka pentest , bug bounty alanında ne gibi etkisi olduğunu kendi tecrübeleri ile anlatabilicek arkadaşlar varmı ?
 
Yapay zeka destekli araçlarla birçok güvenlik testi gerçekleştirdim. Strix ve Shannon gibi araçları nededim ve Claude, GPT, DeepSeek, Qwen ve GLM gibi farklı modeller ile testler yaptım.

Bu sistemler kaynak kod analizinde zaman zaman başarılı sonuçlar verebiliyor. Ancak black-box testlerinde, özellikle recon aşamasından sonra, aynı başarıyı gösterdiklerini söylemek zor. Çok geniş contextlere sahip olmalarına rağmen kodun davranışını yanlış yorumlayabiliyor, çalışmayan exploitler üretebiliyor ve zaman zaman belirgin şekilde halüsinasyon görebiliyorlar.

Bir diğer önemli problem ise risk seviyelendirmesi. Düşük seviyedeki bir güvenlik açığını kritik olarak raporlayabildikleri gibi, teorik bir zafiyeti doğrulanmış bir güvenlik açığı gibi de sunabiliyorlar. Bu nedenle yapay zekâ ile güvenlik taraması yapmak faydalı olabilir; ancak sonuçlara körü körüne güvenmemek, her bulguyu manuel olarak doğrulamak gerekir. Ayrıca yoğun API kullanımı ciddi maliyet oluşturabildiği için bu yaklaşım her zaman ekonomik de olmayabilir.

Curl’ün HackerOne üzerinde başlattığı programı kısa süre içinde sonlandırmasının nedenlerinden birinin de yapay zekâ destekli araçların ürettiği düşük kaliteli raporlar olduğu belirtiliyor. Özellikle çalışmayan exploitler, yanlış pozitifler ve kaynak kodun hatalı yorumlanması hem geliştiricilerin hem de triage ekiplerinin iş yükünü artırıyor.

HackerOne’ın ise triage süreçlerinde Claude ile ortak bir çalışma yürüteceğini duydum. Bunun ne kadar sağlıklı ve verimli sonuçlar vereceğini zaman gösterecek. Bana göre yapay zeka, güvenlik uzmanının yerini alacak bağımsız bir karar mekanizmasından ziyade, uzmanı destekleyen yardımcı bir araç olarak kullanıldığında daha anlamlı ve güvenilir sonuçlar üretebilir.

Raporlarınız elbet değerlendirilecektir ama günde binlerce rapor yollandığı için Triage ekibi yetişemiyordur veya bazı programlar artık Triage sürelerini uzattığı için sıranızı beklemeniz lazım.
 
çok teşekkürler abi bilgilendirme için banada öyle geldi chat gpt veya claude ile herhangi bi açık severity sorguladığım zaman basit bi açık için high veya gereksiz olarak kendisi bişiler ekleyip buna high olabilir şu olabilir vs diyordu bence çok güvenmemiştim saddece bi github projelerinde yapay zeka destekli projeler görmeye başladım acaba bu recon konusunda bi tık ileri atarmı diye düşündüm , çünkü zamanımın çoğu bazı programlarda recon ile geçiyor acaba bunu kısa bi yöntemi olup bi anda herşey ayağımın altında olsa çok iyi bi zaman tasarufu olur , bunun için bi yol arıyorum açıkçası
 
Herkese selam ,

Neredeyse son bir aydır max 2 haftada bakılan raporuma şuan ise 1 ayı geçti 2. aya giricez hala bakmadılar.
Ve 4 tane raporum var hepsi aynı,

Bu raporun unutulma ihtimali yoktur herhalde ne kadar any update yazsamda dönüş yok , Bildiğim kadarı ile yapay zeka ile zafiyet arayanlar fazla olduğu için triage ekibi yetişemiyor diye biliyorum

Ve yapay zeka ile recon veya buna benzer şeyler yapan veya yapay zeka pentest , bug bounty alanında ne gibi etkisi olduğunu kendi tecrübeleri ile anlatabilicek arkadaşlar varmı ?
Hangi platform ? MSRC'de en son başıma geldi. 45 gün bekledim. dedim herhalde unuttular. Linkedinden yazınca ilgilendiler. Aİ yüzünden rapor sayısında ciddi artış var maalesef.
 
Geri
Üst