Kuruluşların yaklaşık %77’si, daha verimli ve otomatikleştirilmiş bir iş akışı için baskı yaparak yapay zekayı bir ölçüde benimsedi veya araştırıyor.
GenAI modellerine ve ChatGPT gibi LLM’lere olan bağımlılığın artmasıyla birlikte, sağlam güvenlik önlemlerine olan ihtiyaç en üst düzeye çıktı ve Akto’yu GenAI Güvenlik Testi çözümünü başlatmaya yöneltti.
“Akto, yapay zeka teknolojisinden yararlanan API’leri taramak için yeni bir yeteneğe sahip ve bu, uygulama güvenliğinin geleceği için temel önem taşıyor. Yapay zeka için uygulama ve güvenlik eğitimi oluşturmaya erken yatırım yaptım ve diğer güvenlik şirketlerinin de yapay zeka teknolojileri etrafında güvenlik değerlendirmesi için aynısını yaptığını görmek beni heyecanlandırıyor,” dedi Güvenli Kodlama Eğitimcisi Eski OWASP Küresel Yönetim Kurulu Üyesi Jim Manico.
Ortalama olarak bir kuruluş 10 GenAI modeli kullanıyor. Çoğu zaman üretimdeki LLM’lerin çoğu verileri dolaylı olarak API’ler aracılığıyla alacaktır. Bu, LLM API’leri tarafından tonlarca ve tonlarca hassas verinin işlendiği anlamına gelir. Bu API’lerin güvenliğinin sağlanması, kullanıcı gizliliğinin korunması ve veri sızıntılarının önlenmesi açısından oldukça önemli olacaktır. Günümüzde Yüksek Lisans’ların kötüye kullanılmasının ve hassas veri sızıntılarına yol açmasının birkaç yolu vardır:
- Hızlı enjeksiyon güvenlik açıkları – Kötü niyetli girdilerin LLM’nin çıktısını manipüle edebileceği yetkisiz istem enjeksiyonları riski büyük bir endişe kaynağı haline geldi.
- Hizmet Reddi (DoS) tehditleri – LLM’ler ayrıca sistemin isteklerle aşırı yüklendiği ve hizmet kesintilerine yol açtığı DoS saldırılarına karşı da hassastır. Geçen yıl LLM API’lerini hedef alan bildirilen DoS olaylarında bir artış oldu.
- LLM çıktılarına aşırı güvenme – Yeterli doğrulama mekanizmaları olmayan LLM’lere aşırı güvenmek, veri yanlışlıkları ve sızıntı vakalarına yol açmıştır. Sektörde LLM’lere aşırı bağımlılık nedeniyle veri sızıntısı olaylarında artış görülmesi nedeniyle kuruluşların sağlam doğrulama süreçleri uygulamaları teşvik edilmektedir.
OWASP LLM Yapay Zeka Uygulamaları Çekirdek ekip üyesi için Top 10, “GenAI sistemlerinin güvenliğinin sağlanması, yalnızca yapay zekayı harici girdilerden değil aynı zamanda çıktılarına bağlı olan harici sistemleri de koruma ihtiyacını içeren çok yönlü bir yaklaşım gerektiriyor” dedi.
20 Mart 2023’te OpenAI’nin yapay zeka aracı ChatGPT’de bir kesinti yaşandı. Kesintinin nedeni, açık kaynaklı bir kütüphanede bulunan ve bazı müşterilerin ödemeyle ilgili bilgilerinin açığa çıkmasına neden olabilecek bir güvenlik açığıydı. Çok yakın bir zamanda, 25 Ocak 2024’te, Any LLM’de (8.000 Github Yıldızı) herhangi bir belgeyi veya içerik parçasını herhangi bir LLM’nin sohbet sırasında kullanabileceği bağlama dönüştüren kritik bir güvenlik açığı keşfedildi.
Kimliği doğrulanmamış bir API rotası (dosya dışa aktarma), saldırganların sunucuyu çökertmesine ve bunun sonucunda hizmet reddi saldırısına neden olabilir. Bunlar LLM modellerinin kullanılmasıyla ilgili güvenlik olaylarının yalnızca birkaç örneğidir.
Akto’nun GenAI Güvenlik Testi çözümü bu zorlukları doğrudan ele alıyor. Akto, gelişmiş test metodolojileri ve algoritmalarından yararlanarak, Yüksek Lisans (LLM) de dahil olmak üzere GenAI modelleri için kapsamlı güvenlik değerlendirmeleri sağlar.
Çözüm, hızlı enjeksiyon, belirli veri kaynaklarına aşırı bağımlılık ve daha fazlası gibi GenAI güvenlik açıklarının çeşitli yönlerini kapsayan 60’tan fazla titizlikle tasarlanmış test senaryosu da dahil olmak üzere çok çeşitli yenilikçi özellikleri içeriyor. Bu test senaryoları, Akto’nun GenAI güvenliği alanındaki uzman ekibi tarafından geliştirildi ve GenAI modellerini kullanan kuruluşlar için en yüksek düzeyde koruma sağladı.
Şu anda güvenlik ekipleri tüm LLM API’lerini yayınlanmadan önce kusurlara karşı manuel olarak test ediyor. Ürün sürümlerinin zaman hassasiyeti nedeniyle ekipler yalnızca birkaç güvenlik açığını test edebilir. Bilgisayar korsanları LLM’lerden yararlanmanın daha yaratıcı yollarını bulmaya devam ederken, güvenlik ekiplerinin LLM’leri geniş ölçekte güvence altına almanın otomatik bir yolunu bulması gerekiyor.
“Genellikle yüksek lisansa yönelik girdiler bir son kullanıcıdan gelir veya çıktı son kullanıcıya veya her ikisine birden gösterilir. Testler, farklı kodlama yöntemleri, ayırıcılar ve işaretleyiciler aracılığıyla LLM güvenlik açıklarından yararlanmaya çalışır. Bu, özellikle geliştiricilerin girişi kodladığı veya girişin etrafına özel işaretler koyduğu zayıf güvenlik uygulamalarını tespit ediyor.” dedi Akto.io’nun CTO’su Ankush Jain.
Yapay zeka güvenlik testi, LLM’lerin çıktılarını sterilize etmeye yönelik güvenlik önlemlerindeki güvenlik açıklarını tanımlar. Uzaktan yürütme için kötü amaçlı kod yerleştirme girişimlerini, siteler arası komut dosyası çalıştırmayı (XSS) ve saldırganların oturum belirteçlerini ve sistem bilgilerini almasına olanak tanıyan diğer saldırıları tespit etmeyi amaçlamaktadır. Akto ayrıca Yüksek Lisans’ların yanlış veya ilgisiz raporlar oluşturmaya yatkın olup olmadığını da test eder.
“Hızlı Enjeksiyondan (LLM:01) Aşırı Güvenmeye (LLM09) ve her gün yeni güvenlik açıklarına ve ihlallere kadar ve varsayılan olarak güvenli sistemler oluşturmak; Sürekli gelişen bu tehditlere karşı sistemleri erken test etmek kritik öneme sahiptir. LLM AI Uygulamaları Çekirdek ekip üyesi için OWASP Top 10, “LLM projelerim için Akto’nun neler sunacağını görmek beni heyecanlandırıyor” dedi.
GenAI güvenliğinin önemini daha da vurgulamak için Gartner tarafından Eylül 2023’te yapılan yakın tarihli bir anket, kuruluşların %34’ünün GenAI’ye eşlik eden riskleri azaltmak için halihazırda AI uygulama güvenliği araçlarını kullandığını veya uyguladığını ortaya çıkardı. Yanıt verenlerin %56’sı bu tür çözümleri de araştırdıklarını belirterek, Akto’nunki gibi sağlam güvenlik testi çözümlerine olan kritik ihtiyacın altını çizdi.
Kuruluşlar yapay zekanın gücünden yararlanmaya çalışırken Akto, bu dönüştürücü teknolojilerin güvenliğini ve bütünlüğünü sağlamada ön saflarda yer alıyor. GenAI Güvenlik Testi çözümünün piyasaya sürülmesi, inovasyona olan bağlılıklarını ve kuruluşların GenAI’yi güvenle benimsemelerini sağlama konusundaki kararlılıklarını güçlendiriyor.