CyberNews ile ilgili son bir makalede, AI chatbots dünyasının ne kadar hızlı büyüdüğüne dair iki açık işaret vardı. Daha önce hiç duymadığım bir şirketin portföyü boyunca 150 milyondan fazla uygulama indirmesi vardı ve aynı zamanda korunmasız bir elasticsearch örneği vardı.
Bunun biraz açıklamaya ihtiyacı var. Muhtemelen hala çok sayıda çan çalmayan bir şirket olan Vyro Ai’yi hiç duymamıştım, ancak uygulaması ImageTeart’ın Google Play’de 10 milyondan fazla indirmesi var. Vyro AI ayrıca 100.000’den fazla indirme olan Chatly ve aylık yaklaşık 50.000 ziyaretle web tabanlı bir chatbot olan ChatBotx’u pazarlıyor.
Elasticsearch örneği, çok sayıda veriyi hızlı bir şekilde saklamak ve aramak için kullanılan bir araç çalıştıran bir veritabanı sunucusudur. Şifreler, kimlik doğrulaması veya ağ kısıtlamaları olmadığı için teminatsızsa, yetkisiz ziyaretçilere karşı korunmasızdır. Bu, internet erişimi olan herkesin onu bulmak için erişim için özgürce erişilebilir olduğu anlamına gelir. Parola veya güvenlik duvarı gibi herhangi bir koruma olmadan, veritabanını çevrimiçi bulan herkes tüm verilerini okuyabilir, kopyalayabilir, değiştirebilir veya hatta silebilir.
Veritabanını bulan araştırmacı, hem üretim hem de geliştirme ortamlarını kapsadığını ve şirketin üç popüler uygulamasından gerçek zamanlı olarak 116GB kullanıcı günlükleri de dahil olmak üzere yaklaşık 2-7 günlük günlükleri sakladığını söylüyor.
Erişilebilen bilgiler şunları içerir:
- AI, kullanıcıların uygulamalara yazmasını ister. AI istemleri, kullanıcıların AI’ya gönderdiği sorular ve talimatlardır.
- Kullanıcının her oturumdan önce giriş yapmak zorunda kalmaması için çerezlere benzer şekilde çalışan taşıyıcı kimlik doğrulama jetonları. Bir saldırgan, bu jetonları kullanarak bir hesabı bile kaçırabilir.
- Uygulamayı, sürümünü ve cihazın işletim sistemini tanımlamak için bir sunucuya isteklerle gönderilen metin dizeleri olan kullanıcı aracıları. Yerel mobil uygulamalar için geliştiriciler, isteklerinin HTTP başlıklarına özel bir kullanıcı aracısı dizesi içerebilir. Bu, geliştiricilerin belirli uygulama kullanıcılarını tanımlamasına ve farklı uygulama sürümleri veya platformları için içerik ve deneyimleri uyarlamasına olanak tanır.
Araştırmacı, veritabanının ilk olarak Şubat ayı ortalarında IoT arama motorları tarafından dizine eklendiğini buldu. IoT Arama motorları, herkesin internette erişebileceği cihazları veya sunucuları aktif olarak bulur ve listeler. Kullanıcıların savunmasız cihazları (kameralar, yazıcılar ve akıllı ev araçları gibi) keşfetmelerine ve ayrıca açık veritabanlarını bulmalarına yardımcı olur.
Bu, saldırganların aylarca bu açık veritabanında “tökezleme” şansı olduğu anlamına geliyor. Ve oradaki bilgilerle kullanıcı hesaplarını devralabilir, sohbet geçmişlerine ve oluşturulan görüntülere erişebilir ve hileli AI kredi alımları yapabilirlerdi.
Bu her zaman nasıl olur?
Üretken AI, birçok evde ve daha fazla şirkette bir yer buldu, bu da çok para kazanılacak.
Ancak bu AI chatbotları teslim eden şirketler, ancak yeni ürünleri ittiklerinde alakalı olabileceklerini düşünüyorlar. Böylece, mühendislik çabaları nakit akışını kontrol edebilecekleri yere yerleştirilir. Güvenlik ve gizlilik endişeleri en iyi ihtimalle ikincildir.
Sadece son birkaç aya baktığımızda, aşağıdakileri bildirdik:
- Birisinin sıradan bir konuşma veya veri şeklinde özenle hazırlanmış girdi eklediği, bir AI’yı yapmak istemediği bir şeyi yapmaya zorlamak veya açıkça zorlamak için hızlı enjeksiyon güvenlik açıkları.
- Bir AI chatbot, siber suçluların insanları dolandırmalarına ve organizasyonları dolandırmalarına yardımcı olmak için bir chatbot kullandıkları bir siber suç çılgınlığı başlattı.
- Google arama sonuçlarında ortaya çıkan AI sohbetleri. Bu bulgular GroK, Chatgpt ve Meta AI (iki kez) ile ilgilidir.
- McDonalds’daki iş başvuru sahiplerinin chatbot etkileşimleri hakkında verileri ortaya çıkaran güvensiz bir arka uç uygulaması.
Veri ihlallerinin nedenleri kadar çeşitli – insan hatası, platform zayıflıkları ve mimari kusurların bir kombinasyonundan kaynaklanmaktadır – onlar hakkında bir şeyler yapma çağrısı duyulmaya başlar.
Umarım, 2025 AI Chatbots manzarasında uyumluluk düzenlemeleri için bir başlangıç noktası olarak hatırlanacaktır.
AI Yasası, Avrupa Yapay Zeka (AI) üzerine bir düzenlemedir. Kanun 1 Ağustos 2024’te yürürlüğe girdi ve her yerde büyük bir düzenleyici tarafından AI üzerinde ilk kapsamlı düzenleme.
Yasa, AI uygulamalarını üç risk kategorisine atar. Birincisi, Çin’de kullanılan türün devlet tarafından işletilen sosyal puanlama gibi kabul edilemez bir risk yaratan uygulamalar ve sistemler yasaklanmıştır. İkincisi, iş başvuru sahiplerini sıralayan bir CV tarama aracı gibi yüksek riskli uygulamalar belirli yasal gerekliliklere tabidir. Ancak son olarak, açık bir şekilde yasaklanmayan veya yüksek risk olarak listelenmeyen uygulamalar büyük ölçüde düzensiz bırakılır.
Tamamen ütülenmemiş olmasına rağmen, NIS2 direktifi AI sağlayıcıları, özellikle AB’de faaliyet gösteren veya AB müşterilerine hizmet verenler için önemli etkileri olmaya mahkumdur. Diğerlerinin yanı sıra, AI modeli uç noktaları, API’lar ve veri boru hatları, ihlalleri ve saldırıları önlemek için korunmalı ve güvenli dağıtım ve çalışma sağlayarak korunmalıdır.
Ve siber güvenlik ile ilgili olmasa da, California Eyalet Meclisi 10 Eylül 2025’te AI’yi düzenlemeye yönelik büyük bir adım attı ve SB 243’ü geçti: Küçükleri ve savunmasız kullanıcıları korumak için AI refakatçi Chatbots’u düzenlemeyi amaçlayan bir yasa tasarısı. Başlıca gereksinimlerden biri, kullanıcının gerçek bir kişi değil, bir AI chatbot ile “konuştuğu” ve mola vermeleri gerektiği konusunda tekrarlanan uyarılardır.
Sadece veri gizliliği hakkında rapor vermiyoruz, kişisel bilgilerinizi kaldırmanıza yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. MalwareBebytes Kişisel Veri Kapatıcısı ile, hangi sitelerin kişisel bilgilerinizi açığa çıkardığını öğrenebilir ve ardından bu hassas verileri internetten silebilirsiniz.