Üretken yapay zeka ve diğer yapay zeka uygulamalarını mevcut yazılım ürünlerine ve platformlarına entegre etmeye büyük ilgi var. Bununla birlikte, yazılım tedarik zinciri güvenlik şirketi Rezilion’un yakın tarihli analizine göre, bu yapay zeka projeleri oldukça yeni ve güvenlik açısından olgunlaşmamış, bu da bu uygulamaları kullanan kuruluşları çeşitli güvenlik risklerine maruz bırakıyor.
ChatGPT’nin bu yılın başlarında piyasaya sürülmesinden bu yana GitHub’da GPT 3.5 kullanan 30.000’den fazla açık kaynak projesi var ve bu da ciddi bir yazılım tedarik zinciri endişesini vurguluyor: Sağa ve sola entegre edilen bu projeler ne kadar güvenli?
Rezilion’un araştırma ekibi GitHub’daki en popüler 50 Büyük Dil Modeli (LLM) tabanlı projeyi analiz ederek bu soruyu yanıtlamaya çalıştı – burada popülerlik, projenin sahip olduğu yıldız sayısına göre ölçülüyordu. Projenin güvenlik duruşu, OpenSSF Puan Kartı puanı ile ölçülmüştür. Open Source Security Foundation’ın Puan Kartı aracı, Puan Kartını hesaplamak için proje havuzunu sahip olduğu güvenlik açığı sayısı, kodun ne sıklıkta korunduğu, hangi bağımlılıklara dayandığı ve ikili dosyaların varlığı gibi çeşitli faktörlere göre değerlendirir. Gol. Sayı ne kadar yüksek olursa, kod o kadar güvenli olur.
Araştırmacılar, projenin popülaritesini (balonun boyutu, y ekseni) ve güvenlik durumunu (x ekseni) haritaladılar. Rezilion, analiz edilen projelerin hiçbirinin 6.1’den yüksek puan almadığını, bunun da bu projelerle ilişkili yüksek düzeyde güvenlik riski olduğunu gösterdiğini söyledi. Ortalama puan 10 üzerinden 4,6 idi ve bu da projelerin sorunlarla dolu olduğunu gösteriyor. Aslında, en popüler proje (neredeyse 140.000 yıldızla), Auto-GPT, üç aydan daha yeni ve 3,7 ile üçüncü en düşük puana sahip, bu da onu güvenlik açısından son derece riskli bir proje yapıyor.
Kuruluşlar hangi açık kaynak projelerini kod tabanlarına entegre edeceklerini veya hangileriyle çalışacaklarını düşünürken, projenin istikrarlı olup olmadığı, şu anda desteklenip aktif olarak sürdürülmediği ve proje üzerinde aktif olarak çalışan kişi sayısı gibi faktörleri göz önünde bulundururlar. Kuruluşların göz önünde bulundurması gereken güven sınırı riskleri, veri yönetimi riskleri ve içsel model riskleri gibi çeşitli risk türleri vardır.
Araştırmacılar analizlerinde, “Bir proje yeni olduğunda, projenin istikrarıyla ilgili daha fazla risk vardır ve projenin gelişmeye devam edip etmeyeceğini söylemek için çok erken” dedi. Proje tam olgunluğa eriştiğinde topluluk faaliyetlerinde zirveye ulaşmadan önceki ilk yıllarda, katılım düzeyi istikrar kazanma ve tutarlı kalma eğilimi gösterir.”
Rezilion araştırmacıları, projenin yaşının ilgili olduğunu belirterek, analizdeki projelerin çoğunun iki ila altı aylık olduğunu belirtti. Araştırmacılar hem projenin yaşına hem de Puan Kartı puanına baktıklarında, en yaygın olan yaş-puan kombinasyonu iki aylık ve Puan Kartı puanı 4,5 ila 5 olan projelerdi.
Araştırmacılar, “Yeni kurulan LLM projeleri hızlı bir başarı elde ediyor ve popülerlik açısından katlanarak büyümeye tanık oluyor” dedi. “Ancak, Puan Kartı puanları nispeten düşük kalıyor.”
Geliştirme ve güvenlik ekiplerinin, herhangi bir yeni teknolojiyi benimsemeyle ilişkili riskleri anlamaları ve kullanmadan önce bunları değerlendirme pratiği yapmaları gerekir.