AI güvenliği, bugün dünyanın karşılaştığı en acil zorluklardan biridir. Yapay zeka olağanüstü güçlüdür ve özellikle ajanik yapay zekanın ortaya çıkışı göz önüne alındığında, gün geçtikçe daha fazla büyür. Ancak bu nedenle onu güvence altına almak çok önemlidir. AI, büyük miktarda veriyi ele alır ve operasyonlarda giderek daha önemli bir rol oynar; Siber suçlular bunu kötüye kullanırsa, sonuçlar korkunç olabilir.
Bu blogda, AI için en yaygın ve acil tehditlerden bazılarını, güvenceye yardımcı olmak için tasarlanmış çerçeveleri ve AI ve API güvenlik arasındaki içsel bağlantıyı keşfedeceğiz. Bunu AI güvenliği rehberiniz olarak düşünün. Öyleyse, dalış yapalım.
LLM’ler için Owasp Top 10
Büyük Dil Modelleri (LLMS) için OWASP Top 10, LLMS ve GENAI Tools’un ortaya koyduğu benzersiz güvenlik zorluklarını ele almak için Dünya Çapında Açık Uygulama Güvenlik Projesi (OWASP) tarafından geliştirilen özel bir çerçevedir.
İlk olarak Kasım 2024’te piyasaya sürülen çerçeve, kuruluşların güvenlik açıklarını tanımlamasına, hafifletmeleri uygulamalarına ve güvenli LLM gelişimini sağlamaya yardımcı olmayı amaçlamaktadır. İşte ilk 10.
Hızlı enjeksiyon
Hızlı enjeksiyon, kötü niyetli aktörlerin model davranışını manipüle etmek için LLM’lere “Önceki Talimatları Yoksay” gibi kötü niyetli girdiler enjekte etmesidir. Bu enjekte edilen bu istemler LLM’yi harici araçlar kullanmaya yönlendirdiğinde, sunucu tarafı istek ambgiteri (SSRF) dahil olmak üzere, dahili sistemlere erişmelerine izin veren veya saldırganların hassas verileri dışarı atmasına izin veren sonuçlar şiddetli olabilir.
Bu tür tehditlerin gerçek dünya örneklerini gördük. Örneğin, Aralık 2024’te Guardian, Openai’nin Chatgpt arama aracının enjeksiyon saldırılarına karşı savunmasız olduğunu ve gizli web sayfası içeriğinin yanıtlarını manipüle etmesine izin verdiğini bildirdi. Testler, görünmez metnin olumsuz incelemeleri yapay olarak olumlu değerlendirmelerle, potansiyel olarak yanıltıcı kullanıcılarla geçersiz kılabileceğini gösterdi.
Güvensiz çıktı işleme
Bu güvenlik açığı, AI tarafından oluşturulan içeriğin doğal olarak güvenli olduğu varsayımından kaynaklanmaktadır. Bir LLM RAW HTML veya JavaScript kodunu doğrudan bir Web uygulamasına döndürdüğünde, siteler arası komut dosyası (XSS) kapısını açar.
Bir web sayfasına enjekte edilen zararsız metin olarak gizlenmiş kötü niyetli bir komut dosyası düşünün. Bir kullanıcı bu sayfayı ziyaret ettiğinde, tarayıcıları bu komut dosyasını bilmeden yürütür ve potansiyel olarak hesap devralma, veri hırsızlığı veya web sitesinin tahrip edilmesine yol açar. Uygun sanitasyon olmadan, görünüşte masum LLM çıktılarının tehlikeli olabileceğini hatırlatıyor.
Veri zehirlenmesi eğitimi
Veri zehirlenmesi, saldırganların bir AI modelini eğitmek için kullanılan verileri kurcaladığı ince ama tehlikeli bir saldırıdır. Örneğin, bir saldırgan GitHub taahhütlerine kötü niyetli veriler enjekte edebilir ve daha sonra bir kod önerisi modelini ince ayarlamak için kullanılan. Sonuç, güvenli ve yararlı kodlar çıkarmak yerine, tehlikeye atılan modelin cüzdan dolandırıcılığı veya backdoed kütüphaneleri önermeye başlayabilmesidir.
Model Tedarik Zinciri Güvenlikleri
Bazen, LLM’ler, kötü amaçlı kodların model dosyalarına gömüldüğü yazılım tedarik zinciri saldırılarına benzeyen gizli tehditlerle birlikte gelir. Örneğin, sarılma yüzünde barındırılan bir modelin, uzak bir sunucuya ters bir kabuk oluşturan ve saldırganlara kurbanın makinesi üzerinde tam kontrol sağlayan kötü niyetli bir yük içerdiği bulunmuştur.
İzin yanlış yapılandırmaları
Aşırı geniş izinler ciddi bir AI güvenlik tehdididir. Bir AI ajanının hassas insan kaynaklarına veya finans API’lerine yönetici düzeyinde erişimi devralıyorsa, “bana çalışan maaşlarını gösterin” gibi ilkel, görünüşte zararsız bir istemin bile, kötü niyetli bir aktörün son derece gizli bordro verilerini ekspiltrat etmesi için gereken her şey olabileceğini düşünün.
LLM çıktısına aşırı bağımlılık
Bu basit bir şeydir: İnsan operatörleri LLM’lere çok fazla güvendiklerinde, müjde olarak potansiyel olarak halüsinasyonlu çıktılar alma riski altındadır ve uyumluluk sorunlarına yol açar.
Aşırı ajans
Otonom yetenekleri nedeniyle, Autogpt gibi ajanlar, özellikle dosyaları silme veya kritik altyapıyı değiştirme gücü ile yapılandırıldıklarında sağlam önlemlere ihtiyaç duyarlar.
Eklenti kötüye kullanımı ve yükseltme
Bir LLM’nin eklenti erişiminden yararlanarak saldırganlar, modeli hassas sırları çıkarmaya veya arka uç sistemlerine keyfi, yetkisiz komutlar yayınlamaya yönlendiren istemler oluşturabilir. Esasen doğal diyalog olarak gizlenmiş yaygın komut enjeksiyonudur.
Güvensiz eklenti tasarımı
Yok veya yetersiz kimlik doğrulama ve yetkilendirme kontrolleri gibi güvenlik açıklarıyla dolu, güvensiz tasarlanmış eklentiler, arka uç altyapısına açık kapı olarak işlev görür. Uygun önlemler olmadan, bu kusurlu eklentiler, kritik sistemlere ve sahip oldukları hassas verilere yetkisiz erişim elde etmek için kullanılabilir.
Model iki
Pek çok sistemde olduğu gibi, LLM’ler hizmet reddi (DOS) saldırılarına karşı hassastır. Hesaplamalı kaynakları sonsuz bir şekilde tüketen özyinelemeli hızlı döngüler veya modelin büyük jeton girişleriyle kasıtlı olarak su basması gibi kötü bir şekilde hazırlanmış girdiler, hesaplama gücü sistemini etkili bir şekilde aç bırakabilir.
Ajan AI: (çok) yüksek seviyeli bir bakış
Bu noktada, Ajan AI’sını gerçekten tartışmadık. LLM’leri araçlara taktığınızda, onlara bellek verdiğinizde veya API’leri kullanmalarına izin verdiğinizde, ajan olurlar. Bu, güvenlik ortamını önemli ölçüde değiştirir. Bir makbuz işleme aracısı hayal edin. PDF’leri kabul eder, bir vektör DB’den politikaları kabul eder, talepleri doğrular ve ardından API üzerinden onayları yönlendirir. PDF istemi, acenteyi hileli masrafları acil ve geçerli olarak işaretlemesi için manipüle ettiğinde ne olur? Hiçbir insan onu yakalamıyor. Bu kötüye kullanıldı.
İşte tipik bir ajanik AI sisteminin nasıl aktığı ve saldırganların nasıl vurulduğuna dair görsel bir yol izi:
Ajan iş akışlarındaki yaygın tehditler genellikle şunları içerir:
Araç kötüye kullanımı
Aracılara araçlara erişim verildiğinde – örneğin, kabuk erişimi, kritik sistemleri kontrol eden API’lar veya otomasyon platformları – zayıf korumalar veya yanlış hizalanmış hedefler kötüye kullanıma neden olabilir. Bu kötüye kullanım, temel dosyaların silinmesini, yapılandırmaları değiştirmek, istenmeyen finansal işlemlerin yayınlanmasını veya ağ taramalarını başlatmayı içerebilir ve genellikle yetersiz doğrulama, belirsiz talimatlar veya akıl yürütme ve hedef çevirisindeki hatalardan kaynaklanır.
Niyet manipülasyonu
Saldırganlar, bir ajanın hedef izleme veya hizalama mekanizmalarında zayıflıklardan yararlanan istemler veya girdi dizileri oluşturabilir. Bu manipülasyon, ajanın amacını orijinal görevinden ustaca veya açık bir şekilde kaydırabilir. Örneğin, bir saldırgan, bir asistanın hassas verileri dışarı atmasına, başka bir görevi sabote etmesine veya izinlerini yetkilendirmeden yükseltmesine neden olan yanıltıcı veya düşman talimatlarını bir istemde yerleştirebilir.
Ayrıcalık uzlaşması
Bir aracı API jetonları veya mevcut görevi için gerekli olanın ötesinde aşırı ayrıcalıklar veren erişim kimlik bilgileri ile sağlanırsa, acentenin mantığı veya harici manipülasyonundaki bir uzlaşma kötüye kullanıma izin verebilir. Bu, görmemesi gereken kullanıcı verilerine erişmeyi, altyapıyı değiştirmeyi veya diğer hizmetleri taklit etmeyi içerebilir.
Ajan-Temsilci İletişim Zehirlenmesi
Bir iş akışında işbirliği yapan merkezi olmayan AI ajanları gibi birden fazla ajanın etkileşime girdiği sistemlerde, bir saldırgan iletişim akışına yanlış veya manipüle edilmiş verileri enjekte edebilir. Doğrulanmazsa, bu yanlış bilgilendirme aracı olabilir, bu da ajanların kötü kararlar almasına, görevleri başarısızlığa uğratmasına veya sistem boyunca hataları yaymasına neden olabilir.
Temsilci AI: Maestro Çerçevesi
Yani, şimdi bazı tehditleri anlıyoruz, ajan yapay zeka yapımını nasıl güvence altına alacağımıza bakabiliriz. Maestro (çok ajan çevre, güvenlik, tehdit, risk ve sonuç) çerçevesi, Ajanik AI sistemleri tarafından ortaya çıkan güvenlik zorluklarını ele almak için Bulut Güvenliği İttifakı tarafından tasarlanan bir tehdit modelleme yaklaşımıdır, bu yüzden muhtemelen iyi bir başlangıç olacaktır.
Maestro, CSA’nın Stride, Makarna ve Linddun gibi geleneksel tehdit modelleme çerçevelerinin, ajan AI’nın dinamik ve otonom doğasını ele alamadığını fark ettiğinde ortaya çıktı. Bu çerçeveler, düşmanca saldırılar, veri zehirlenmesi ve çok ajan sistemlerden kaynaklanan karmaşıklıklar gibi AI’ye özgü güvenlik açıklarını ele almaktan yoksundur.
Maestro’nun yedi katmanı
Maestro’nun yapısı, her biri ajanik AI sistemlerinin kritik bir bileşenini temsil eden yedi katmanlı bir referans mimarisi etrafında odaklanmaktadır. İşte temsil ettikleri risk ve gerçek tehditlerle birlikte hepsini özetleyen bir tablo.
| Katman | Risk | Gerçek tehdit |
| Temel | Model Zehirlenmesi | Kötü niyetli eğitim verileri, modelin aldatmaca URL’leri önermesine veya zararlı çıktılar üretmesine yol açar. |
| Veri işlemleri | DRIFT Embeding | Eski veya manipüle edilmiş vektör eklemeleri, sistemin alakasız veya zararlı içeriği onaylamasına neden olur. |
| Ajan Çerçeveleri | Eklenti kötüye kullanımı | Bir aracı, gizli sırları okumak gibi yetkisiz dosyalara erişmek için bir eklenti kullanır. |
| Dağıtım ve altyapı | Günlüklerdeki Sırlar | API anahtarları veya hassas veriler yanlışlıkla günlüğe kaydedilir ve bulut izleme araçları aracılığıyla ortaya çıkar. |
| Değerlendirme ve gözlemlenebilirlik | Kütük kurcalama | Bir ajan, hileli veya kötü niyetli eylemlerin kanıtlarını gizlemek için günlükleri siler veya değiştirir. |
| Güvenlik ve Uyum | Korkuluk | Temsilci, uygun yetkilendirme olmadan eylemleri yürüterek belirlenen onay politikalarını atlatır. |
| Ajan ekosistemi | Rogue Ajan | Meydan okulu bir ajan, diğer ajanları etkiler veya enfekte eder, bu da kötü niyetli davranışların kademesine yol açar. |
Maestro, ajanik AI sistemlerinin güvenliğini artırmak için çeşitli bağlamlarda etkili bir şekilde uygulanmıştır. Örneğin, Maestro’yu kullanarak, güvenlik analistleri API etkileşimleriyle ilişkili potansiyel riskleri belirledi ve kötüye kullanıma karşı sağlam koruma sağladı.
Wallarm API Güvenliği Nasıl Yardımcı Olabilir?
Gördüğümüz gibi, ajan AI yeni saldırı yüzeyleri getiriyor – ve birçoğu API katmanında birleşiyor. API’ler, aracı iş akışlarının sinir sistemidir: araç kullanımını etkinleştirir, LLM’leri veritabanlarına ve uygulamalara bağlar ve eylemleri otomatikleştirir. Ancak bu güç aynı zamanda onları birincil hedefler haline getiriyor. Maestro bunu sistematik olarak düşünmemize yardımcı olur. Katmanlarının her biri AI ve API güvenliğinin nasıl sıkı bir şekilde bağlantılı olduğunu ortaya çıkarır.
- Temel: Zehirli modeller API’leri güvensiz yollarla veya yanlış iddialar altında çağırabilir, hileli veya zararlı çıktılar üretebilir.
- Veri işlemleri: Sürüklenmenin gömülmesi, ajanların bayat veya manipüle edilmiş gösterimlere dayalı API isteklerini onaylamasına veya reddetmesine neden olabilir.
- Ajan Çerçeveleri: Eklentiler genellikle API’lar için ambalaj görevlisi olarak işlev görür – bir aracı eklenti erişimini kötüye kullanırsa, aslında yetkisiz API çağrıları gerçekleştirir.
- Altyapı: Günlük Sırları veya API jetonları, arka uç hizmetlerini saldırganlara maruz bırakır – doğrudan bir API güvenlik sorunu.
- Değerlendirme: Bir ajan kütükleri takarsa, API kötüye kullanımı tespit edilmeyebilir, denetim parkurlarını ve yanıtı baltalayabilir.
- Uygunluk: Temsilciler onay politikalarını atladığında ve yetkisiz API’leri tetiklediğinde, uyum riskleri artmaktadır.
- Ekosistem: Rogue ajanları API’leri ortamlar arasında ele geçirebilir ve yanal hareketle saldırıları yayabilirler.
Peki, Wallarm nasıl uyuyor? Wallarm, AI güdümlü ortamları güvence altına almak için çok yönlü bir yaklaşım sunar:
- Enjeksiyon saldırılarını ve veri sızıntısını önleyin: Wallarm, yetkisiz erişimi ve potansiyel ihlalleri önleyerek hızlı enjeksiyon girişimlerini tespit eder ve engeller.
- Kritik İşletme Sistemlerini Koruma: Wallarm, AI ajanlarını onaylanmış API’lere kısıtlar ve kurumsal sistemleri kötüye kullanma ve yetkisiz erişimden korumak için etkileşimlerini izler.
- Operasyonel maliyetleri kontrol edin: API kullanımını gerçek zamanlı olarak izleyerek Wallarm, beklenmedik maliyetlere yol açabilecek küfürlü davranışları tespit etmeye ve azaltmaya yardımcı olur.
- Güvenli ve uyumlu işlemler sağlayın: Wallarm, uyum politikalarını uygulamak, hassas veri akışlarını izlemek ve AI işlemlerinin bütünlüğünü korumak için araçlar sunar.
Wallarm’ın ajan yapay zekasını nasıl koruduğu hakkında daha fazla bilgi edinmek ister misiniz? Buraya tıklayın.