Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Küresel Siber Güvenlik Kurumları, Yapay Zeka Tehditlerini Azaltmada ‘Tasarım Yoluyla Güvenliğin’ Anahtar Olduğunu Söyledi
Akşaya Asokan (asokan_akshaya), Chris Riotta (@chrisriotta) •
27 Kasım 2023
Pazar günü yaklaşık iki düzine ulusal siber güvenlik kuruluşu, yapay zeka sistemi sağlayıcılarını “tasarım gereği güvenli” ve bilgisayar korsanlarını yapay zeka sistemlerinin mantar gibi büyüyen dünyasından uzak tutmayı amaçlayan diğer önleyici tedbirleri benimsemeye çağırdı.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi, 22 yerli ve küresel siber ortakla birlikte Pazar günü ortak kılavuz yayınladı Tedarik zinciri ve modellerden kaynaklanan yapay zeka ve makine öğrenimi uygulamalarına yönelik güvenlik riskleri konusunda uyarı. Birleşik Krallık NCSC ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, dört temel alana odaklanan kılavuzun geliştirilmesine öncülük etti: güvenli tasarım, güvenli geliştirme, güvenli dağıtım ve güvenli işletme ve bakım.
Ayrıca bakınız: BT ve Güvenlikte Yapay Zekanın Geleceği Nedir?
Ajanslar, rehberliğin tüm yapay zeka geliştiricileri için iyi olduğunu ancak özellikle üçüncü tarafların barındırdığı modelleri kullanan veya bir modele bağlanmak için API’leri kullanan yapay zeka sağlayıcılarını hedef aldığını söylüyor. Riskler, üçüncü taraf yazılım ve donanım uygulamalarındaki güvenlik açıklarından kaynaklanan rakip makine öğrenimi tehditlerini içerir. Bilgisayar korsanları, model sınıflandırmasını ve regresyon performansını değiştirmek, eğitim verilerini bozmak ve yapay zeka modelinin kararlarını etkileyen hızlı enjeksiyon veya veri zehirleme saldırıları gerçekleştirmek için bu kusurlardan yararlanabilir.
Bilgisayar korsanları, yetkisiz eylemlere izin vermek ve hassas bilgileri çıkarmak için savunmasız sistemleri de hedefleyebilir. Kılavuz, siber güvenliği yapay zeka güvenliği ve dayanıklılığı için “gerekli bir ön koşul” olarak tanımlıyor.
Özellikle CISA, tasarım yoluyla güvenliğin faydalarını anlatmak için uzun süren bir kampanya yürütüyor ve aynı zamanda teknoloji şirketlerini, güvenlik kusurları içeren ürünleri halka sunma döneminin sona ermesi gerektiği konusunda uyarıyor (bkz: ABD CISA, Yapay Zeka için Tasarım Yoluyla Güvenlik Çağrısında Bulunuyor).
Güvenlik firması Armis’in dış ilişkiler ve hükümet işlerinden sorumlu başkan yardımcısı Tom Guarente’ye göre, yönergeler uluslararası yapay zeka güvenlik operasyonları ve bakımı için evrensel standartlar ve en iyi uygulamaları sağlamada “güçlü bir adımı” temsil ediyor. “Ama şeytan ayrıntıda gizlidir.”
Guarente, Bilgi Güvenliği Medya Grubu’na, tavsiyeleri birlikte imzalayan ülkelerin, geliştirme sürecine dahil olmayan diğer ülkelerle karşılaştırıldığında kılavuzu uygulamasının daha kolay olacağını söyledi.
“Peki ya bunun bir parçası olmayan ve bu yönergelerden sorumlu olmayan ülkeler?” Guarente, Çin, Rusya ve İran gibi yabancı düşmanların herhangi bir küresel yapay zeka düzenlemesini kabul etmediğini belirtti. “Asıl zorluk bu… kuralların nasıl uygulanacağı ve diğer ülkelerden nasıl destek alınacağı.”
Önerilen öneriler arasında harici API’lerin kusurlara karşı denetlenmesi, bir AI sisteminin güvenilmeyen modeller yüklemesinin önlenmesi, verilerin harici kaynaklara aktarımının sınırlandırılması ve AI sistemlerinin yalnızca tanımlanmış “sistem davranışını” gerçekleştirmesini önlemek için eğitim verilerinin sterilize edilmesinin sağlanması yer alıyor.
Bilgi güvenliğinden sorumlu EMEA ve APAC hükümet işleri kıdemli direktörü Daniel Morgan, kılavuzun bağlayıcı olmadığını ve çok çeşitli genel tavsiyeler içerdiğini, ancak “hızla gelişen yapay zeka ortamında siber güvenliğin kritik rolünün toplu olarak kabulünü temsil ettiğini” söyledi. platform SecurityScorecard.
Morgan, ISMG’ye yaptığı açıklamada, “Bu anlaşma, yapay zeka teknolojisini potansiyel suiistimal ve siber tehditlerden korumaya yönelik küresel çabaları uyumlulaştırmaya yönelik önemli bir adıma işaret ediyor” dedi ve yapay zeka sistemlerinin tasarım aşamasında güvenliği entegre etmeye odaklanmanın “özellikle dikkate değer olduğunu” ekledi.
Kılavuz, yapay zeka modellerinin ve eğitim verilerinin sistem doğrulaması için kriptografik karmalar veya imzalar kullanarak yapay zeka modellerini potansiyel tahrifatlardan koruma ihtiyacını vurguluyor. Ajanslar, modeller, veriler, yazılım kitaplıkları, modüller, ara katman yazılımı ve çerçeve gibi donanım ve kritik yazılım bileşenlerinin denetlenmesini önerir.
NCSC başkanı Lindy Cameron yaptığı açıklamada, “Yapay zekanın olağanüstü bir hızla geliştiğini ve buna ayak uydurmak için hükümetler ve endüstri genelinde ortak uluslararası eyleme ihtiyaç olduğunu biliyoruz.” dedi. Kendisi, bu tedbirlerin “güvenliğin kalkınmanın bir eki değil, baştan sona temel bir gereklilik” olmasını sağlayacağını söyledi.
CISA Direktörü Jen Easterly yaptığı açıklamada, uluslararası işbirliğinin yapay zeka sistemlerinin geliştirilmesinde “şeffaflığı, hesap verebilirliği ve güvenli uygulamaları teşvik etmeye yönelik küresel kararlılığın altını çizdiğini” söyledi.
En son önlem, Birleşik Krallık’ın teknolojinin yarattığı riskleri ele almayı amaçlayan yapay zeka güvenliği konusunda ilk küresel zirveye ev sahipliği yapmasından haftalar sonra geldi. Etkinlikte, 28 katılımcı ülke aynı zamanda çeşitli yapay zeka risklerinin yönetilmesi konusunda acil bir küresel fikir birliği çağrısında bulunan Bletchley Deklarasyonu’nu da imzaladı (bkz.: Birleşik Krallık Yapay Zeka Zirvesi: Arzular, Faydalar ve ‘Kıyamet’ Eksikliği).
Ekim ayında, ABD Başkanı Joe Biden, hâlihazırda gelişen teknolojiyi kullanan kurumlar için hükümet çapında standartları belirleyen bir idari emir yayınladı (bkz: Beyaz Saray Yeni Yapay Zeka Yönetici Kararını Tanıtıyor).