Sektör analistlerinin çoğu, kuruluşların önümüzdeki yıl çeşitli kullanım durumlarında üretken yapay zeka (GenAI) ve büyük dil modellerinden (LLM’ler) yararlanma çabalarını hızlandırmasını bekliyor.
Tipik örnekler arasında müşteri desteği, sahtekarlık tespiti, içerik oluşturma, veri analitiği, bilgi yönetimi ve giderek artan şekilde yazılım geliştirme yer alır. Yakın zamanda 1.700 BT profesyonelinin katıldığı anket Centient tarafından OutSystems adına yürütülen araştırmada katılımcıların %81’i kuruluşlarının şu anda kodlama ve yazılım geliştirmeye yardımcı olmak için GenAI kullandığını belirtti. Neredeyse dörtte üçü (%74) önümüzdeki 12 ay içinde yapay zeka destekli geliştirme yaklaşımlarını kullanarak 10 veya daha fazla uygulama geliştirmeyi planlıyor.
Bu tür kullanım senaryoları kuruluşlar için önemli verimlilik ve üretkenlik kazanımları sağlamayı vaat ederken aynı zamanda yeni gizlilik, yönetişim ve güvenlik risklerini de beraberinde getiriyor. İşte endüstri uzmanlarının BT ve güvenlik liderlerinin önümüzdeki 12 ay içinde dikkat etmesi gerektiğini söylediği yapay zeka ile ilgili altı güvenlik sorunu.
Yapay Zeka Kodlama Asistanları Yaygınlaşacak – Riskler de Öyle
GitHub Copilot, Amazon CodeWhisperer ve OpenAI Codex gibi yapay zeka tabanlı kodlama yardımcılarının kullanımı, özellikle yeni kurulan kuruluşlar arasında deneysel ve erken benimseyen statüsünden ana akım haline gelecek. Bu tür araçların öne çıkan avantajları arasında geliştirici üretkenliğinin artması, tekrarlanan görevlerin otomasyonu, hataların azaltılması ve daha hızlı geliştirme süreleri yer alıyor. Ancak her yeni teknolojide olduğu gibi, bazı dezavantajları da. Güvenlik açısından bakıldığında bunlar, savunmasız kod, verilerin açığa çıkması ve güvenli olmayan kodlama uygulamalarının yayılması gibi otomatik kodlama yanıtlarını içerir.
“Yapay zeka tabanlı kod yardımcıları, otomatik tamamlama, kod oluşturma, yeniden kullanma ve kodlamayı mühendislikle ilgisi olmayan bir kitle için daha erişilebilir hale getirme konusunda şüphesiz güçlü faydalar sunarken, risksiz değil,” diyor Digital.ai CEO’su Derek Holt. En büyüğü, AI modellerinin yalnızca üzerinde eğitildikleri kod kadar iyi olduğu gerçeğidir. İlk kullanıcılar, AI kullanırken kodlama hatalarını, güvenlik anti-kalıplarını ve kod yayılımını gördüler. Holt, geliştirme için kodlama asistanları olarak şunları söylüyor: “Şirket kullanıcılarının bilinen güvenlik açıklarını taramaları gerekecek. [Dynamic Application Security Testing, or DAST; and Static Application Security Testing, or SAST] olumsuz etkilerin sınırlı olmasını ve üretkenlik kazanımlarının beklenen faydaları artırmasını sağlamak için tersine mühendislik girişimlerine karşı kodu güçlendirin.”
Yapay Zeka, xOps Uygulamalarının Benimsenmesini Hızlandıracak
Holt, daha fazla kuruluşun yapay zeka yeteneklerini yazılımlarına dahil etmeye çalıştıkça DevSecOps, DataOps ve ModelOps’un (veya üretimdeki yapay zeka modellerini yönetme ve izleme uygulamasının) daha geniş, her şeyi kapsayan bir xOps yönetim yaklaşımına dönüşmesini beklediğini söylüyor. Holt, yapay zeka destekli yazılıma geçişin, belirli sonuçlara ulaşmak için önceden tanımlanmış kuralları izleyen geleneksel bildirimsel uygulamalar ile eğitim veri kümelerinden öğrenilen kalıplara dayalı olarak dinamik olarak yanıtlar üreten LLM’ler ve GenAI uygulamaları arasındaki çizgiyi giderek bulanıklaştırdığını söylüyor. Bu eğilimin operasyonlar, destek ve QA ekipleri üzerinde yeni baskılar yaratacağını ve xOps’un benimsenmesini teşvik edeceğini belirtiyor.
“xOps, kurumsal özel veriler üzerinde eğitilmiş şirket içi veya açık kaynaklı modellerden yararlanan uygulamalar oluştururken DevOps gereksinimlerini özetleyen yeni ortaya çıkan bir terimdir” diyor. “Bu yeni yaklaşım, yapay zeka modellerinden yararlanan mobil veya web uygulamaları sunarken, geleneksel DevSecOps süreçlerini DataOps, MLOps ve ModelOps süreçleriyle entegre uçtan uca yaşam döngüsüne entegre etme ve senkronize etme gereksiniminin bulunduğunu kabul ediyor.” Holt, ortaya çıkan bu en iyi uygulamalar dizisinin, şirketlerin kaliteli, güvenli ve desteklenebilir yapay zeka destekli uygulamalar sağlamaları açısından son derece kritik hale geleceğini düşünüyor.
Shadow AI: Daha Büyük Bir Güvenlik Baş Ağrısı
Geniş ve hızla büyüyen bir GenAI araçları yelpazesinin kolay kullanılabilirliği, birçok kuruluşta teknolojilerin yetkisiz kullanımını artırdı ve halihazırda aşırı yük altında olan güvenlik ekipleri için yeni bir dizi zorluk ortaya çıkardı. Bunun bir örneği, hızla çoğalan ve çoğunlukla yönetilemeyen şirketlerdir. işçiler arasında yapay zeka sohbet robotlarının kullanımı çeşitli amaçlar için. Bu eğilim, birçok kuruluşta hassas verilerin yanlışlıkla açığa çıkmasıyla ilgili endişeleri artırdı.
Darktrace stratejik siber yapay zekadan sorumlu başkan yardımcısı Nicole Carignan, güvenlik ekiplerinin önümüzdeki yıl bu tür araçların izinsiz kullanımında bir artış görmeyi bekleyebileceğini öngörüyor. “Kurumlarda ve çalışanlar tarafından kullanılan cihazlarda yapay zeka ve üretken yapay zekayı kullanan araçlarda bir patlama göreceğiz.” gölge yapay zekasında yükselişCarignan diyor. “Bu durum kontrol edilmezse, veri kaybının önlenmesine ilişkin ciddi soru ve endişelerin yanı sıra yeni düzenlemeler gibi uyumluluk endişelerini de beraberinde getirir. eylemim var Carignan, baş bilgi görevlilerinin (CIO’lar) ve baş bilgi güvenliği görevlilerinin (CISO’lar), yapay zeka araçlarının kendi ortamlarında izinsiz kullanımını tespit etme, takip etme ve kökünü kazımaya yönelik yetenekleri uygulama konusunda artan baskı altına gireceğini bekliyor. .
Yapay Zeka İnsan Becerilerini Değiştirmeyecek, Artıracak
Yapay zeka, büyük hacimli tehdit verilerini işleme ve bu verilerdeki kalıpları belirleme konusunda uzmandır. Ama en azından bir süreliğine, en iyi ihtimalle bir büyütme aracı Tekrarlanan görevleri yerine getirme ve temel tehdit algılama işlevlerinin otomasyonunu sağlama konusunda uzmandır. SlashNext Email Security+ saha CTO’su Stephen Kowski’ye göre önümüzdeki yıl en başarılı güvenlik programları, yapay zekanın işlem gücünü insan yaratıcılığıyla birleştiren programlar olmaya devam edecek.
Pek çok kuruluş, yapay zeka sistemlerinin kullandığı tarihsel kalıpların ötesinde gelişen gerçek dünya saldırılarını tanımlamak ve bunlara yanıt vermek için insan uzmanlığına ihtiyaç duymaya devam edecek. Etkili tehdit avcılığının, ince anormallikleri tespit etme ve görünüşte ilgisiz göstergeleri birbirine bağlama konusundaki insan sezgisine ve becerilerine bağlı olmaya devam edeceğini söylüyor. “Önemli olan, yetenekli analistlerin yeni saldırı modellerini araştırıp stratejik yanıtları belirlerken yapay zekanın yüksek hacimli rutin tespitleri üstlendiği doğru dengeyi yakalamaktır.”
Bugcrowd’un gelişmiş hizmetlerden sorumlu başkan yardımcısı Julian Davies, yapay zekanın büyük veri kümelerini hızlı bir şekilde analiz etme yeteneğinin, siber güvenlik çalışanlarının veri analitiği becerilerini geliştirme ihtiyacını artıracağını ekliyor. “Yapay zeka tarafından oluşturulan içgörüleri yorumlama yeteneği, anormallikleri tespit etmek, tehditleri tahmin etmek ve genel güvenlik önlemlerini geliştirmek için gerekli olacaktır.” Hızlı mühendislik becerilerinin, yapay zeka yatırımlarından maksimum değer elde etmek isteyen kuruluşlar için de giderek daha yararlı olacağını ekliyor.
Saldırganlar Açık Kaynak Vuln’larından Yararlanmak İçin Yapay Zekadan Yararlanacak
ColorTokens saha CTO’su Venky Raju, tehdit aktörlerinin güvenlik açıklarından yararlanmak ve açık kaynaklı yazılımlarda otomatik olarak yararlanma kodu oluşturmak için yapay zeka araçlarından yararlanmasını bekliyor. Raju, “Yapay zeka tabanlı bulanıklaştırma araçları, orijinal kaynak koduna erişim olmadan güvenlik açıklarını tespit edebildiğinden, kapalı kaynak yazılımlar bile bu durumdan muaf değil. Bu tür sıfır gün saldırıları, siber güvenlik topluluğu için önemli bir endişe kaynağıdır” diyor.
Bu yılın başlarında yayınlanan bir raporda, CrowdStrike Saldırganların kötü niyetli yeteneklerini geliştirmek için yapay zekadan nasıl yararlandıklarının bir örneği olarak yapay zeka destekli fidye yazılımını gösterdi. Saldırganlar ayrıca hedefleri araştırmak, sistem açıklarını belirlemek, verileri şifrelemek ve uç nokta tespit ve iyileştirme mekanizmalarından kaçınmak için fidye yazılımını kolayca uyarlayıp değiştirmek için de yapay zekayı kullanabilir.
Doğrulama, İnsan Gözetimi Kritik Olacak
Kuruluşlar, doğru şeyi yapması konusunda yapay zekaya tam ve dolaylı olarak güvenmekte zorluk çekmeye devam edecek. A Qlik tarafından yapılan son anket 4.200 üst düzey yönetici ve yapay zeka karar vericisinin tamamı, katılımcıların çoğunun ezici bir çoğunlukla yapay zekanın çeşitli kullanımlar için kullanılmasını desteklediğini gösterdi. Aynı zamanda, %37’si üst düzey yöneticilerinin yapay zekaya güvenmediğini belirtirken, orta düzey yöneticilerin %42’si de aynı düşünceyi ifade ediyor. Yaklaşık %21’i müşterilerinin de yapay zekaya güvenmediğini bildirdi.
“Yapay zekaya güven karmaşık bir denge olarak kalacak faydalara karşı risklerSlashNext’ten Kowski, mevcut araştırmaların önyargı ve halüsinasyonları ortadan kaldırmanın verimsiz ve imkansız olabileceğini gösterdiğini söylüyor. “Sektör anlaşmaları bazı etik çerçeveler sağlasa da etiğin öznel doğası, farklı kuruluşların ve kültürlerin yapay zeka yönergelerini farklı şekilde yorumlamaya ve uygulamaya devam edeceği anlamına geliyor. ” Pratik yaklaşımın, mükemmel güvenilirlik aramak yerine sağlam doğrulama sistemleri uygulamak ve insan gözetimini sürdürmek olduğunu söylüyor.
Bugcrowd’dan Davies, yapay zekanın etik sonuçlarını ele alabilecek profesyonellere halihazırda artan bir ihtiyaç olduğunu söylüyor. Görevleri gizliliği sağlamak, önyargıyı önlemek ve yapay zeka odaklı kararlarda şeffaflığı sürdürmektir. “Yapay zekanın benzersiz güvenlik ve emniyet kullanım durumlarını test etme yeteneği kritik hale geliyor” diyor.