Yapay Zeka ve Makine Öğrenimi , Yönetişim ve Risk Yönetimi , Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Güvenlik Uyarısı, Chatbot’larla Hassas Bilgilerin Paylaşılması Riskini Yeniden Vurguluyor
Mathew J. Schwartz (euroinfosec) •
20 Haziran 2023
Güvenlik araştırmacıları, ele geçirilmiş sohbet robotu kimlik bilgilerinin, çalınan veriler için yeraltı pazar yerlerinde sık sık dolaşan suçlular tarafından alınıp satıldığı konusunda uyarıyor. Uyarı, ChatGPT’nin ve rakip yapay zeka tekliflerinin küresel kullanımının, bazı işverenlerin geveze botların hassas bilgileri gevezelik edebileceğine dair endişelerine rağmen artmaya devam etmesi ve düzenleyicilerin gizlilikle ilgili endişelerini dile getirmesiyle geldi.
Ayrıca bakınız: paneli | Modern Bir Veri Koruma Platformu Oluşturmanın Dört Adımı
Yeni bir raporda, siber güvenlik şirketi Group-IB, chatbot kimlik bilgilerinin artık yeraltı suç pazarlarında satışa çıktığını söyledi. Firma, özellikle Hindistan’daki, ardından Pakistan, Brezilya, Vietnam, Mısır, Amerika Birleşik Devletleri ve Fransa’daki sistemlerden bir kimlik bilgisi seli izledi.
Firma, OpenAI ve Microsoft’un yanı sıra Google’ın Bard tarafından desteklenen ChatGPT gibi sohbet robotlarının kimlik bilgilerinin doğrudan hedef alınmadığını söyledi. Bunun yerine kimlik bilgileri, Raccoon, Vidar ve Redline gibi masaüstü bilgi çalan kötü amaçlı yazılımlar tarafından toplu halde çalınıyor.
Bilgi hırsızları, kripto para birimi cüzdan verileri, banka ve ödeme kartı hesabı erişim ayrıntıları, e-posta ve mesajlaşma hizmetleri için parolalar ve bir tarayıcıda kayıtlı kimlik bilgileri dahil olmak üzere, virüslü sistemde dijital olarak depolanan potansiyel değeri olan her şeyi hedefler.
Kötü amaçlı yazılım, siber suç çevrelerinde “bot” olarak bilinen virüslü bir sistemdeki tüm bilgileri saldırgana veya bazı durumlarda saldırgan tarafından kullanılan bir hizmet olarak kötü amaçlı yazılım teklifi yönlendirir. İkinci durumda, hizmet operatörleri tipik olarak kripto para cüzdan adresleri ve erişim ayrıntıları dahil olmak üzere en değerli bilgileri kendilerine saklarlar. Geri kalan her şey “kütükler” halinde gruplandırılabilir ve özel forumlar ve Telegram kanalları aracılığıyla satılabilir.
Group-IB, chatbot kullanan ve kimlik bilgilerini korumak isteyen kuruluşlar için çözümün uzun ve güçlü parolalar kullanmak ve suçluların çalınan chatbot kimlik bilgilerini kolayca kullanamaması için iki faktörlü kimlik doğrulamayı etkinleştirmek olduğunu söyledi.
Chatbot Ateşi
Chatbot kimlik bilgilerinin çalınmasıyla ilgili güvenlik uyarısı, bu kullanımı yöneten kurumsal gözetim veya güçlü kontroller olmasa da, işyerinde kullanımları artmaya devam ettikçe gelir.
Sosyal ağ uygulaması Fishbowl tarafından Şubat ayında yaklaşık 12.000 ABD çalışanıyla yapılan bir ankette, profesyonellerin %43’ünün işle ilgili bir görev için ChatGPT gibi bir sohbet robotu kullandıklarını söylediği bulundu. Raporda, “Bu profesyonellerin yaklaşık %70’i bunu patronlarının bilgisi dışında yapıyor” denildi.
Teknoloji daha fazla araç haline geldikçe iş yerinde sohbet robotlarının benimsenmesi artacaktır. Yapay zeka sohbet robotları, kullanıcıların sordukları sorulara kulağa insan gibi gelen yanıtlar almalarına olanak tanırken, mevcut benimseyenler sonuçların karışık kaldığını söylüyor.
Europol’de bir veri bilimcisi olan David Johnson, “Bunun gerçekten çok iyi olduğunu bulduğum şey, çok fazla güvenle yanıt vermek – o kadar büyük bir güvenle buna inanma eğilimindeyim, ancak neredeyse yarısı tamamen yanlış,” dedi. AB’nin suç istihbaratı ve koordinasyon dairesi, bu ayın başlarında AI konulu bir AB konferansında söyledi.
Bugüne kadarki kusurlu sonuçlar, sohbet robotu ateşini düşürmedi. Microsoft hisseleri, Microsoft’un Bing arama motoruna ve Azure bulut bilgi işlem platformuna ChatGPT’yi eklemesi de dahil olmak üzere yapay zeka ile ilgili her şeye yönelik piyasa iyimserliği ile 2,5 trilyon doların üzerine çıkarak tüm zamanların en yüksek seviyesine ulaştı. sonuç.
Reuters’in bildirdiğine göre, JPMorgan analistleri geçen hafta bir araştırma notunda, “Üretken yapay zeka konusundaki aykırı görüşümüzü yeniden teyit ediyoruz ve bunun kilit yazılım serilerine olan güvenin yeniden canlanmasına yol açtığını görmeye devam ediyoruz.”
Çalışan Uyarısı: Yapay Zekayı Beslemeyin
Sohbet robotu sağlayıcıları genellikle araçlarının üzerinde eğitildiği hizmetleri veya temeldeki algoritmaların tam olarak nasıl çalıştığını ifşa etmese de, bir sohbet robotuna girilen bilgiler, onu destekleyen büyük dil modelinin bir parçası olabilir. Geçen ay, Berkeley’deki California Üniversitesi’ndeki akademisyenler tarafından yönetilen bir ekip, ChatGPT’nin “Harry Potter” ve “Game of Thrones” kitapları da dahil olmak üzere bir dizi telif hakkıyla korunan eser kullanılarak eğitilmiş göründüğünü bildirdi.
Artan sayıda işletme, ChatGPT’yi kullanırlarsa araca herhangi bir hassas bilgi, ticari sır veya özel kod girmemeleri gerektiği konusunda personeli uyarıyor, çünkü bu sırları başka birine tekrarlayabilir.
Group-IB’nin tehdit istihbaratı başkanı Dmitry Shestakov, “Birçok kuruluş, ChatGPT’yi operasyonel akışlarına entegre ediyor” diyor. “Çalışanlar gizli yazışmalara giriyor veya özel kodu optimize etmek için botu kullanıyor. ChatGPT’nin standart yapılandırmasının tüm görüşmeleri sakladığı düşünüldüğünde, bu, hesap kimlik bilgilerini ele geçirmeleri halinde tehdit aktörlerine istemeden hassas bir istihbarat hazinesi sunabilir.”
Bu tür endişeler göz önüne alındığında, bazı kuruluşlar, özellikle düzenlemeye tabi sektörlerde, sohbet robotlarının kullanımını tamamen engelledi. Buna, JPMorgan’ın Şubat ayında uyumluluk endişeleri nedeniyle personelin ChatGPT kullanmasını kısıtladığı bildirildi. Accenture, Amazon, Apple, Northrop Grumman ve Samsung, çalışanların AI kullanımına korkuluklar koyduğu bildirilen büyük şirketler arasında yer alıyor.
Reuters’in bildirdiğine göre, geçen hafta Google, çalışanlarına, kullandıkları araçlara özel kod da dahil olmak üzere gizli bilgilerin girilmesine karşı uzun süredir devam eden kuralları hatırlattı.
Aynı zamanda Google, kendi Bard sohbet robotunu ABD ve İngiltere de dahil olmak üzere 180 ülkede kullanıma sunuyor.
Gizlilik Hız Tümsekleri
Kullanıma sunma bazı hız tümseklerine çarptı: Bard’ın AB’deki ilk çıkışı geçen hafta İrlanda Veri Koruma Komisyonu tarafından engellendi. Gizlilik bekçisi, Bard’ın temel algoritmalarının insanların kişisel verilerini nasıl işlediğine dair yasal endişeleri dile getirdi.
Londra hukuk firması Cordery Compliance tarafından gönderilen bir nota göre, insanların kişisel bilgilerini işleyen herhangi bir yeni hizmeti (AI veya başka türlü) sunan işletmeler, tipik olarak önce AB Genel Veri Koruma Yönetmeliği kurallarına nasıl uyacağını göstermek için bir Veri Koruma Etki Değerlendirmesi sunmalıdır. Geçen hafta müşteriler. Avukatlar Jonathan Armstrong ve André Bywater notta “Bu durumda DPC, onayına hiçbir DPIA sunulmadığı konusunda endişeliydi.”
Google, DPC’nin endişelerini giderene kadar, Bard’ın AB kitlelerine serbest bırakılmasının askıya alındığını söylediler.