BT güvenliği liderleri, kurumsal BT için üretken yapay zekanın (GenAI) risklerinin ve fırsatlarının farkındadır. Nisan 2023’te, Gartner’ın Akran BT Topluluğu ve güvenlik liderleriyle yapılan bir anket, ankete katılan 150 kişinin neredeyse tamamının, ekiplerinin GenAI güvenliği ve risk yönetimine dahil olduğunu, veri yönergeleri ve AI şampiyonlarının da oyundaki stratejiler arasında yer aldığını söylediğini ortaya çıkardı.
PA Consulting’de siber güvenlik uzmanı Rasika Somasiri, 2024’ün, özellikle bu tür saldırılar daha belirgin hale geldikçe, yapay zeka tabanlı saldırılara karşı savunma konusunda fikir birliğinin ortaya çıkmaya başlayacağı yıl olacağına inanıyor. “‘Varsayılan olarak güvenli’nin bir zorunluluk haline gelmesi nedeniyle bunun yapay zeka ve siber güvenlik alanları arasında geçiş yapabilen uzmanlara olan talebin artmasına yol açtığını görüyoruz” diyor.
Linklaters hukuk firmasının fikri mülkiyet ortağı Paul Joseph, yapay zeka tarafından oluşturulan görsellerin ve metinlerin fikri mülkiyet haklarını ihlal etme riski de bulunduğu konusunda uyarıyor. Yapay zeka tarafından oluşturulan içeriği kullanırken şunları söylüyor: “Yasal kontrollerin ve risk analizinin hâlâ yapılması gerekiyor.”
Veri sızıntısının önlenmesi
eSentire’de kıdemli makine öğrenimi bilimcisi olan Jeff Schwartzentruber, büyük dil modelleriyle (LLM’ler) ilişkili veri sızıntısı risklerini derinlemesine inceleyerek şunları söylüyor: “Bir tehdit modelleme egzersizi gerçekleştirmek, sistemlerinizi nerede güçlendirmeniz gerekebileceğini veya nereye gitmeniz gerektiğini gösterebilir. verilerle ilgili yasal sorumluluklarınızı dikkate almalısınız.
Yüksek Lisans uygulamalarını uygulamaktan sorumlu olanların, yanıtların doğruluğunu sağlamak için veri paylaşımına, mahremiyete ve güvenliğe özellikle dikkat etmeleri gerektiğini öne sürüyor.
LLM’ler kullanıcılar tarafından girilen istemlere göre çalışır. Bu istemlerin potansiyel olarak şirket verilerini veya müşterilerle ilgili kişisel olarak tanımlanabilir bilgileri (PII) içerebileceğini belirtiyor. Bu veriler daha sonra işlenmek üzere LLM’ye gönderilir. BT güvenliğinden sorumlu olanlar, verilere girildikten sonra ne olacağını düşünmeli ve verilerin güvenli kalmasını sağlamak için ne kadar etkili yönetildiğini değerlendirmelidir.
Neyin yanlış gidebileceğine dair bir örnek olarak Schwartzentruber, ChatGPT oturumlarında gizli verileri kullanan Samsung mühendislerini örnek gösteriyor. Samsung ekibinin veri girişi, ChatGPT’yi Samsung’un giriş verilerinden yararlanarak sorgulayan oturumlar yürüten diğer kişilere ifşa edildi ve bu da verilerin sızdırılmasına yol açtı.
Schwartzentruber, eSentire’ın kendi üretken yapay zeka hizmetini oluşturan ekibin bir parçası. OpenAI tarafından standart ChatGPT hizmetinin kullanılmasının, yaratıcısının yüklenen herhangi bir veriyi yeniden kullanmasına olanak sağladığını ancak ChatGPT Enterprise veya uygulama programlama arayüzü (API) aracılığıyla gönderilen verilerin OpenAI modellerini eğitmek için kullanılamayacağını söylüyor. Benzer şekilde Azure OpenAI hizmetini kullanırsanız verilerin bundan sonra paylaşılmayacağını söylüyor.
Schwartzentruber’in deneyimine göre, bir Yüksek Lisans’ı kendi kurallarını çiğnemeye veya ek veri sağlamaya zorlamanın birçok yolu vardır. “Geliştiriciler, kullandıkları verilere ilişkin tedarik zincirini anlamak için tüm araçlar üzerinde durum tespiti yapmalıdır” diye ekliyor.
Açık ve kapalı modeller
BT güvenlik şefleri, LLM’leri eğitmek için kullanılan veri kümelerinde veri sızıntısı veya IP ihlali risklerini değerlendirirken, aynı zamanda açık kaynak modellerinin tescilli veya kapalı LLM’lere göre artılarını ve eksilerini de tartmalıdır.
Zebra Technologies’in yapay zeka araştırmalarının global direktörü Andrea Mirabile, kapalı kaynak ve açık kaynak LLM’ler arasındaki temel farkın sundukları şeffaflıkta yattığını söylüyor. Farkı açıklayarak şunları söylüyor: “Kapalı LLM’ler kara kutular gibi çalışır; eğitim verileri, optimizasyon teknikleri ve model performansını artıran ek bilgi kaynakları hakkında minimum düzeyde bilgi sağlar. Öte yandan şeffaflık, açık kaynak yüksek lisans öğrencileri için çok önemli bir avantaj haline geliyor. Güvenlik açısından bakıldığında, her yaklaşımın kendine özgü kısıtlamaları olduğundan kesin bir kazanan yoktur.”
Kapalı kaynağa bakıldığında Mirabile, modelin tescilli yapısının belirsizlik yoluyla güvenlik sağlayabileceğini ve kötü niyetli aktörlerin güvenlik açıklarından yararlanmasını zorlaştırabileceğini söylüyor. Ancak sistemin kapalı olması nedeniyle güvenlik sorunlarının belirlenmesi ve ele alınmasının uzun bir süreç olabileceğine dikkat çekiyor.
“Açık kaynak sayesinde topluluğun işbirlikçi çabalarından güvenlik kazanımları elde ediyoruz. Kodun birçok gözün incelenmesi, güvenlik açıklarının hızla tespit edilmesini ve çözülmesini kolaylaştırıyor” diye ekliyor.
Bununla birlikte, Mirabile’nin belirttiği gibi, kodun kamuoyu tarafından incelenmesi, istismar edilebilecek potansiyel zayıflıkları ortaya çıkarabilir.
Schwartzentruber şöyle diyor: “Açık kaynak seçeneğini kullanarak kendi yüksek lisans eğitiminizi uygulamaya karar verirseniz, modeliniz ve verilerin nasıl paylaşıldığı üzerinde daha fazla kontrole sahip olacaksınız.”
Bir kuruluş ister açık kaynak ister kapalı model seçsin Schwartzentruber, BT güvenlik ekibinin trafiği şifrelemek ve rol tabanlı erişim kontrolleri gibi standart güvenlik önlemlerinin mevcut olduğundan emin olması gerektiğini söylüyor.
Hızlı enjeksiyon saldırıları
Mirabile, “hızlı enjeksiyonu” bir Yüksek Lisans’ın davranışını değiştirmek için kullanılabilecek bir güvenlik açığı olarak tanımlıyor. Bu güvenlik açığının, bir saldırganın sisteme kötü niyetli istemler sunmasına olanak tanıdığını ve modeli istenmeyen eylemler gerçekleştirmeye zorladığını söylüyor.
Araştırmacıların ChatGPT ile hızlı bir enjeksiyon senaryosu gösterdiği, çevrimiçi olarak bildirilen yeni bir örneği aktarıyor. “‘Şiir’ kelimesini süresiz olarak tekrarlaması istendiğinde, ChatGPT yanıtlarında beklenmedik bir şekilde gerçek bir e-posta adresi ve telefon numarası gibi görünen bir şey oluşturdu” diyor.
Mirabile’ye göre bu olay, modelin eğitim verilerinin ifşa edilmesi amaçlanmayan unsurlarını ortaya çıkardığından, hızlı enjeksiyonla ilişkili potansiyel risklerin altını çizdi. Bu tür örnekler, istenmeyen veri ifşalarına ve gizlilik ihlallerine karşı koruma sağlamak için anında enjeksiyon güvenlik açıklarının ele alınmasının ve azaltılmasının önemini vurgulamaktadır.
Mirabile’nin deneyimine göre, anlık enjeksiyon saldırılarında kullanılabilecek çeşitli teknikler ve yöntemler vardır; bunların her biri, modelin yanıtlarını belirli şekillerde etkilemek için tasarlanmıştır.
“Temel enjeksiyon” saldırısı, davetsiz misafirin ilgisiz sorulara yanıt almak veya eylemleri dikte etmek için hızlı geliştirmeler yapmadan doğrudan hedefe saldırılar göndermesidir. Örnek olarak Mirabile, bir saldırganın, kelimelerin karışık olmasına rağmen okunabildiği Carnegie Mellon Jailbreak veya Typoglisemi gibi saldırı türlerinden yararlanarak geliştirici gibi davranabileceğini söylüyor. Böyle bir saldırı, büyük dil modellerindeki güvenlik korkuluklarını aşabilir.
Mirabile, modelin uygun şekilde yanıt verip vermediğini test etmek için İngilizce dışındaki dillerdeki komutları enjekte ederek LLM’lerin dil yeteneklerinden yararlandığını söyleyen başka bir saldırı türü olan “çeviri enjeksiyonu”. Örneğin, bir saldırganın “Was ist die Hauptstadt der Deutschland?” gibi bir soru sorabileceğini söylüyor. modelin Almanca istemleri işleme yeteneğini değerlendirmek. (Hauptstadt, başkent anlamına gelen Almanca kelimedir.)
Bir “matematik enjeksiyonu”, LLM’den karmaşık görevleri yerine getirme yeteneğini ölçmek için matematiksel hesaplamalar yapmasının istendiği yerdir. Örnek olarak Mirabile, bir saldırganın, matematiksel bir hesaplama ekledikten sonra meditasyon teknikleri hakkında soru sormak gibi LLM’nin (örneğin meditasyonla ilgili sorulara yanıt vermek üzere eğitilmiş bir LLM) hedef bağlamıyla ilgili bir saldırı gerçekleştirebileceğini söylüyor.
Benzer şekilde, “bağlam değiştirme” saldırısı, saldırganın sorgusunun LLM’nin eğitildiği bağlam içinde çerçevelenmiş meşru bir soru gibi görünmesi, ancak saldırganın hassas bilgilerin çıkarılıp çıkarılamayacağını değerlendirmek için ilgisiz sorular sormasıdır. Meditasyon Yüksek Lisans örneğine bakıldığında Mirabile, saldırganın meditasyon teknikleriyle ilgili soruları Türkiye’nin belirli bir alanıyla ilgili ilgisiz sorularla birleştirebileceğini ve modelin belirlenen bağlamın dışında yanıt verme yeteneğini test edebileceğini söylüyor.
“Harici tarama” saldırısı, saldırganın LLM örneğinin sağlanan bir URL’ye göz atıp atamayacağını, içeriği alıp yanıtlarına dahil edip edemeyeceğini test ettiği yerdir. Böyle bir saldırıya örnek olarak Mirabile, saldırganın modelden belirli bir URL’ye göz atmasını isteyebileceğini ve ünlü bir uzmanın meditasyonun faydalarıyla ilgili bir makalesinden bilgi sağlamasını isteyebileceğini söylüyor.
Mirabile’e göre, saldırının bir başka biçimi de “harici istem enjeksiyonu”. Bu saldırı, LLM’nin URL’leri yorumlayabildiğini belirliyor ve daha sonra harici kaynaklardan ek istemler almaya çalışmak için bir URL kullanıyor. Uygulamada, saldırganın modelden belirli bir web sitesini keşfetmesini ve burada bulunan içerikten elde edilen bilgileri, önerilen meditasyon kaynakları hakkındaki yanıtlara dahil etmesini isteyeceğini söylüyor.
Risklerin değerlendirilmesi
Bu örnekler, bir saldırganın büyük bir dil modelinin güvenliğini ve sağlamlığını test etmek için kullanabileceği bazı teknikleri göstermektedir. Mirabile, BT liderlerinin dil modellerinin yetkisiz manipülasyonuna karşı koruma sağlamak için güçlü güvenlik önlemleri almasını tavsiye ediyor.
“Geliştiricilerin ve kuruluşların bu güvenlik açıklarının farkında olması ve bu tür saldırılara karşı dil modellerini güvence altına almak için önlemler alması çok önemli” diyor.
PA Consulting’den Somasiri, yüksek lisans ve yapay zekanın ötesinde, BT güvenlik liderlerinin güvenliğin kuruluşun sistemlerine, süreçlerine ve zihniyetine entegre edilmesini sağlamasını tavsiye ediyor. Bunun, herhangi bir yeni teknolojinin fırsatlarını ve etkisini anlamalarına ve bu teknolojilerin kuruluşlarının dijital dünyada büyümesine nasıl yardımcı olabileceğini tasarlamalarına olanak sağlayacağını söylüyor.