ChatGPT, 2022’de 30 Kasım’da ilk kez sahneye çıktı ve hızla ilgi odağı oldu ve çok yönlü, çok yönlü bir araç haline geldi. Artık diğer etkileyici özelliklerinin yanı sıra eğitmen, tasarımcı, kötü amaçlı yazılım kodlayıcı ve müzik bestecisi olarak da işlev görüyor.
ChatGPT, ilk piyasaya sürülmesinden bu yana geçen 11 aydan biraz daha uzun bir süre içinde, tümü güvenliği artırmaya yönelik birçok evrim aşamasından geçti. Bu makalede ChatGPT’nin dönüştürücü yolculuğunu ve siber güvenlikte nasıl devrim yaratmaya hazır olduğunu derinlemesine inceleyeceğiz.
Nesilleri Çizmek: ChatGPT’den GPT-4’e
ChatGPT olarak bilinen Sohbet Üretken Önceden Eğitimli Transformer, kullanıcı istemlerine yanıt veren geniş dil modelli bir sohbet robotudur. Lansmanından sadece iki ay sonra 100 milyondan fazla kullanıcının ilgisini çekerek, milyarlarca dolarlık bir proje statüsünün altını çizerek dikkate değer bir kilometre taşına ulaştı. Başlangıçta yapay zekayla desteklenen birçok sohbet robotundan biri olan ChatGPT, 2018’de GPT-1 olarak ilk yinelenmesinden bu yana önemli dönüşümlerden geçti.
2019’da, metin oluşturma yeteneklerini geliştiren GPT-2 tanıtıldı, ancak kötü niyetli kişiler tarafından olası kötüye kullanıma ilişkin endişeler ortaya çıktı. GPT-3’ün 2020’de piyasaya sürülmesi, kullanıcılarla birden fazla dilde daha iyi iletişim kurulmasını sağlayarak ileriye doğru atılmış önemli bir adım oldu.
Son aylarda, ChatGPT’nin gelişimi, GPT-4 geliştiricilerinin, oluşturulan sonuçların tamamen olmasa da minimum düzeyde rahatsız edici içerikten arınmış olmasını sağlamaya daha fazla odaklandığını gördü.
ChatGPT, EvilGPT ve Devam Eden Siber Güvenlik Savaşı
Siber saldırıları ilerletmek için kullanılan diğer araçlar gibi, tehdit aktörleri ve karanlık web pazarları da ChatGPT’nin artan popülaritesinden yararlanmak için hiç vakit kaybetmedi. Siber saldırılara yönelik araçlar ve uygulamalar satma konusunda uzmanlaşmış bu karanlık web platformlarının kullanıcıları, kötü amaçlı yaratımlarına ChatGPT adını vermeye başladı.
EvilGPT satan karanlık web gönderisi (Fotoğraf: Falcon Feeds/X)
The Cyber Express’teki araştırmacılar tarafından keşfedilen dikkate değer örnekler arasında, karanlık web forumlarında kolayca bulunabilen WormGPT, WolfGPT ve EvilGPT yer alıyor.
Ekran görüntüsü: BEC E-postası için WormGPT İstemi (Kaynak: SlashNext)
Yalnızca 10 ABD doları tutarındaki fiyatla sunulan bu sürümler, tehdit aktörlerini İş E-posta Güvenliği (BEC) saldırıları için gerekli olan ikna edici görünen e-postalar oluşturma gibi sıkıcı bir görevden kurtarmayı vaat ediyordu. BEC saldırılarında failler, çalışanları fon aktarmaya veya hassas bilgileri ifşa etmeye yönlendirir.
Dijital altyapıya yönelik tehdidin artmasıyla birlikte siber uzayın koruyucuları, siber saldırılara karşı koymak için ayrıntılı stratejiler geliştirdiler. Amerika Birleşik Devletleri’nin siber savunma kurumu bir blog yazısında yapay zekanın tasarım yoluyla güvence altına alınmasının önemini açıkça vurguladı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) hazırladığı bir rapor, yapay zekanın kötüye kullanılması nedeniyle etrafındaki esrarengiz havayı ele alarak şöyle açıklıyor: “Yapay zeka (AI) tartışmaları genellikle yapay zeka sistemlerinin iç işleyişine ilişkin bir mistisizm havası taşıyor. Gerçek çok daha basit: Yapay zeka bir tür yazılım sistemidir.” CISA, yapay zeka sistemi üreticilerini güvenlik önlemlerini yalnızca teknik bir özellik olarak değil aynı zamanda temel bir iş gereksinimi olarak değerlendirmeye şiddetle teşvik etti. Yapay zeka araçlarının kutudan çıktığı andan itibaren doğası gereği güvenli olmasını, minimum düzeyde yapılandırma veya ek maliyet gerektirmesini istediler.
Yapay zekanın, özellikle de siber güvenlik sektöründe önemli bir büyümeye hazır olduğunun bilincinde olan CISA, yazılım üreticilerine açık uyarılar yayınladı. Rehberlikleri, aşağıdakiler de dahil olmak üzere yapay zeka uygulamasının tüm yönlerini kapsıyordu:
- Yapay zeka yazılım tasarımı
- Yapay zeka yazılım geliştirme
- Yapay zeka veri yönetimi
- Yapay zeka yazılımı dağıtımı
- Yapay zeka sistem entegrasyonu
- Yapay zeka yazılım testi
- Yapay zeka güvenlik açığı yönetimi
- Yapay zeka olay yönetimi
- Yapay zeka ürün güvenliği
- Yapay zeka kullanım ömrü sonu yönetimi
ChatGPT: Siber Güvenlik ve Siber Suçlarda İki Tarafı Keskin Kılıç
Bilgisayar korsanlarının ChatGPT kategorisine erişmesini sağlayan güvenlik açıkları büyük ilgi gördü. Ancak ChatGPT’nin siber tehditlere karşı sınırsız kullanım potansiyeli göz önüne alındığında, olasılıkların neredeyse sınırsız olduğu ve bu zorlukların üstesinden gelme konusunda önümüzde uzun bir yolculuğumuz olduğu ortaya çıkıyor.
Bilgisayar korsanları, kötü niyetli siber faaliyetler için ChatGPT’den yararlanma girişimlerinde bulundu. Bank of America, Deutsche Bank, Goldman Sachs ve Citigroup’un da aralarında bulunduğu çok sayıda kuruluşun ChatGPT kullanımını sınırlamak için ihtiyati tedbirler alması şaşırtıcı değil.
Bu endişelere yanıt olarak bir BlackBerry araştırma raporu, benzer araçların kullanımını düzenlemek için birleşik uç nokta yönetim platformlarının kullanımına ışık tuttu.
“Bu şekilde, bir yandan kurumsal verileri “kapsayıcıya alarak” ve ayrı tutarak kurumsal güvenliğin korunmasını sağlarken, bir yandan da kullanıcının cihazındaki kişisel uygulamaların kullanımının kaldırılması veya engellenmesi gibi kullanıcıların acımasız olarak algılayabileceği önlemlerden kaçınabilirler. ve cihaz sahibinin özel verilerinden veya uygulamalarından yalıtılmıştır” diye ekledi.
ChatGPT’nin Dahil Olduğu Siber Suçlar Ağını Çözmek
- SEO Zehirlenmesi ve kötü amaçlı Google reklamları – Siber suçlular, Bumblebee kötü amaçlı yazılımını Google Ads’e yansıyan kötü amaçlı indirme sayfaları aracılığıyla yaydı. ChatGPT gibi uygulamaları arayan kullanıcılar, Bumblebee kötü amaçlı yazılımını içeren yazılım içeriğinin bulunduğu arama sonuçlarına yönlendirildi.
- Kimlik avı girişimleri – Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), başka bir sahte OpenAI sosyal medya sayfasında çok sayıda kimlik avı web sitesi buldu. Araştırmacılar ayrıca kredi kartı bilgilerini çalmak için ChatGPT’yi taklit eden kimlik avı web sitelerini de tespit etti.
- SMS dolandırıcılığı ve Android kötü amaçlı yazılımları – Cyble ayrıca, tehdit aktörlerinin ChatGPT adını ve simgesini kullanarak bireyleri faturalandırma dolandırıcılığıyla kandırdığı SMS dolandırıcılığını da gün ışığına çıkardı. Ayrıca ChatGPT simgesini kullanan 50’den fazla sahte uygulama da bulundu.
ChatGPT’nin Sınırlamaları
ChatGPT başlangıçta basit bir sohbet aracı olarak hizmet verdi, ancak sistemin artan istismarına yanıt olarak güvenlik özelliklerinin eklenmesi de dahil olmak üzere birçok işlevsel değişikliğe uğradı. Ancak, bu güvenlik geliştirmelerine rağmen kötü niyetli aktörler, kötü amaçlı yazılım ve diğer zararlı içerikleri oluşturmak için ChatGPT’yi kullanarak güvenlik önlemlerini aşmayı başardılar.
Bu, teknolojinin önemli bir sınırlamasını vurguladı; karmaşık olmasına rağmen gerçek anlamda mantık yürütemediğini ve karmaşık yönlendirmeler nedeniyle kolaylıkla kafasının karışabileceğini gösterdi. Sonuç olarak, araştırmacılar ve geliştiriciler, kullanıcılarını korumak için aracın güvenliğini sürekli olarak test etme ve güçlendirme sorumluluğunu üstleniyorlar.
Çalınan ChatGPT kimlik bilgilerinin karanlık ağda izini sürüyor (Fotoğraf: CheckPoint)
Siber suçlular, hesap denetleyici olarak bilinen ve kaba kuvvet saldırılarını ve hesaplara yetkisiz erişimi kolaylaştıran bir araç kullanılarak keşfedildi. Ardından, bilgisayar korsanlarının çalınan ChatGPT hesap verilerini karanlık ağda yayınladığını gösteren başka bir güncelleme daha geldi. Bu, çeşitli ChatGPT premium hesap ayrıntılarının daha fazla yasa dışı kullanım için karanlık ağda yayınlanmasıyla sonuçlandı.
ChatGPT, sayısız avantajı nedeniyle öğrenciler, hevesli kullanıcılar ve siber güvenlik araştırmacıları arasında yaygın bir şekilde benimsenirken, güvenlik endişeleri nedeniyle İtalya’da yasaklı kaldı. Kanada, ChatGPT’nin kişisel verileri işlemesine ilişkin bir soruşturma başlatırken, diğer ülkeler bunun kullanımına ilişkin düzenleyici çerçeveler üzerinde tartıştı.
Sınırlamalarına rağmen siber güvenlik araştırmacıları, ChatGPT’nin büyük miktarda veri içeren sıradan görevlerin tamamlanmasını hızlandırma potansiyelinin farkındadır. Düzgün bir şekilde programlandığında çeşitli bağlantılı veya bağlantısız görevleri verimli bir şekilde yürütebilir, böylece çalışanların üzerindeki iş yükünü hafifletebilir. Ancak ChatGPT ve benzeri araçların insan emeğine olan talebi potansiyel olarak azaltabilmesi nedeniyle işten çıkarılma olasılığına ilişkin endişeler dile getirildi.
Bununla birlikte, teknolojinin yanlış kullanımı ve sınırlamalarının insan zihninin yaratıcı ve uyum sağlama yeteneklerini gölgede bırakması pek mümkün görünmüyor. ChatGPT görevleri kolaylaştırıp hızlandırırken, insanlığa hizmet etmeye devam ediyor, süreçleri basitleştiriyor ancak bunlar üzerinde tam kontrol üstlenmiyor.
ChatGPT Gerçekleri ve İstatistikleri
OpenAI, başlangıcından bu yana ChatGPT hakkındaki havayı temizliyor. InstructGPT modellerine dayanarak, ChatGPT’nin döngüdeki insanlarla oluşturulacağı garanti edildi. Dil modellerinin nasıl eğitildiğine ve kullanıcı istemlerini yanıtlamak için daha iyi donanıma sahip olduğuna dair vaatler inceleme altında kalsa da, ChatGPT ile ilgili bazı eğlenceli gerçekler ona olan ilgiyi artırıyor.
Sürekli gelişen bir çılgınlık devam ederken, ChatGPT hakkında kullanıcıları büyüleyen bazı gerçekleri okuyalım.
- Bir grup yazar, OpenAI’nin ChatGPT’yi kendi çalışmalarına dayanarak yasa dışı olarak eğittiğini suçladı. Yazarlardan biri olan John Grisham, BBC’ye şunları söyledi: “30 yıldır, herkes tarafından iftira, karalama, telif hakkı vb. suçlamalarla dava ediliyorum, bu yüzden sıra bende.”
- ChatGPT, İşletme Yüksek Lisans programının final sınavını geçmek için test edildi. Test, Pensilvanya Üniversitesi Wharton Okulu’ndaki bir profesör tarafından yapıldı. Ve testi geçti.
- ChatGPT, okul ödevleri için içerik oluşturduktan ve grameri kontrol ettikten sonra birinin 59 ABD Doları tutarındaki piyangoyu kazanmasına yardımcı olduğu için haberlerde yer aldı. Kazanan, varsayımsal sorular kullanarak kazanan sayılar oluşturmak için ChatGPT’yi kandırdıklarını iddia etti.
- OpenAI CEO’su Sam Altman, GPT-3 hakkındaki heyecanın “çok fazla” olduğunu ifade etti. Hala ciddi zayıflıklarının olduğunu ve çok saçma hatalar yaptığını söyledi.
(Fotoğraf: OpenAI)
Hevesli ChatGPT kullanıcıları OpenAI’nin yenilikçi yaratımlarına hayran kaldılar. Örneğin DALL-E, metinsel açıklamalara dayalı görüntüler oluşturma yeteneğine sahipken CLIP, görüntüleri akıllı bir şekilde metinle eşleyebilir. Ayrıca Whisper, diğer işlevlerin yanı sıra çok dilli konuşma tanıma ve çeviriyi de destekler. ChatGPT’nin evrimi sınır tanımıyor.
Bununla birlikte ChatGPT’nin çok yönlülüğü ve gücü bir risk oluşturmaktadır. Tehdit aktörleri, yeteneklerinden yararlanmanın yollarını keşfetti ve bu eğilim gelişmeye devam ediyor. Siber güvenlik araştırmacılarının ve profesyonellerinin ChatGPT’deki potansiyel güvenlik açıklarını kapsamlı bir şekilde anlamak için önemli çaba harcamaları büyük önem taşıyor. Bu, dijital altyapıyı bozmak için nasıl kullanılabileceğini keşfetmeyi içerir.
Bu tehditlere etkili bir şekilde karşı koymak için kırmızı ekip, mavi ekip ve mor ekip gibi çeşitli stratejilerin kullanılması çok önemlidir. Bu işbirlikçi çabalar, siber suçlulardan bir adım önde olmamızı sağlıyor ve ChatGPT’yi üretken amaçlarla kullanmamızı sağlıyor.