Missouri Üniversitesi, Hindistan’daki Amrita Üniversitesi ile iş birliği yaparak, ChatGPT ve Google Gemini (eski adıyla Bard) gibi büyük dil modelleri (LLM)’nin, dijital varlıkları kötü amaçlı siber tehditlere karşı korumada kritik bir alan olan etik bilgisayar korsanlığı uygulamalarına nasıl katkıda bulunabileceğine dair yeni bir makale yayınladı.
“ChatGPT ve Google Gemini Etik Hacking Sınavlarını Geçti” başlıklı çalışma, siber güvenlik savunmalarını geliştirmek için yapay zeka destekli araçların potansiyelini araştırıyor. Missouri Üniversitesi Siber Eğitim, Araştırma ve Altyapı Merkezi Direktörü Prasad Calyam liderliğindeki araştırma, yapay zeka modellerinin Certified Ethical Hacker (CEH) sınavından gelen sorularla karşı karşıya kaldıklarında nasıl performans gösterdiğini değerlendiriyor.
EC-Council tarafından yönetilen bu siber güvenlik sınavı, profesyonellerin güvenlik sistemlerindeki güvenlik açıklarını tespit etme ve giderme yeteneklerini test ediyor.
ChatGPT ve Google Gemini Etik Hacker (CEH) Sınavını Geçti
Kötü niyetli karşılığına benzer şekilde etik hackleme, dijital savunmalardaki zayıflıkları önceden tespit etmeyi amaçlar. Çalışma, ChatGPT ve Google Gemini’nin yaygın siber tehditlere karşı korumaları ne kadar etkili bir şekilde açıklayıp önerebileceğini ölçmek için CEH sınavından sorular kullandı. Örneğin, her iki model de üçüncü bir tarafın iki sistem arasındaki iletişimi engellediği aracı saldırı gibi kavramları başarıyla açıkladı ve önleyici tedbirler önerdi.
Araştırmanın temel bulguları, hem ChatGPT hem de Google Gemini’nin yüksek doğruluk oranlarına ulaştığını gösterdi – sırasıyla %80,8 ve %82,6 – Google Gemini, artık Gemini olarak yeniden markalanmış, genel doğrulukta ChatGPT’yi geride bıraktı. Ancak, ChatGPT kapsamlılık, açıklık ve yanıtların özlü olması konusunda güçlü yönler sergiledi ve anlaşılması kolay ayrıntılı açıklamalar sağlamadaki faydasını vurguladı.
Çalışma ayrıca doğruluğu daha da artırmak için onay sorguları da tanıttı. İlk yanıtların ardından “Emin misiniz?” sorusu sorulduğunda, her iki AI sistemi de genellikle kendilerini düzeltti ve siber güvenlik uygulamalarında AI etkinliğini iyileştirmek için yinelemeli sorgu işlemenin potansiyelini vurguladı.
Calyam, siber güvenlikte yapay zeka araçlarının insan uzmanlığının yerine geçmekten ziyade tamamlayıcısı rolünü vurguladı. “Bu yapay zeka araçları, bir uzmana danışmadan önce sorunları araştırmak için iyi bir başlangıç noktası olabilir,” diye belirtti. “Ayrıca BT profesyonelleri veya ortaya çıkan tehditleri anlamak isteyen kişiler için değerli eğitim araçları olarak da hizmet edebilirler.”
Calyam, umut vadeden performanslarına rağmen kapsamlı siber güvenlik çözümleri için AI araçlarına aşırı güvenilmesine karşı uyardı. Sağlam savunma stratejileri geliştirmede insan yargısının ve sorun çözme becerilerinin kritik önemini vurguladı. “Siber güvenlikte hataya yer yoktur,” diye uyardı. Yalnızca potansiyel olarak hatalı AI tavsiyelerine güvenmek, sistemleri saldırılara karşı savunmasız bırakarak önemli riskler oluşturabilir.
Siber Güvenlikte Yapay Zeka İçin Etik Yönergelerin Oluşturulması
Çalışmanın çıkarımları performans ölçümlerinin ötesine uzanıyor. Yapay zekanın siber güvenlik alanında kullanımını ve kötüye kullanımını vurgulayarak, yapay zeka destekli etik hackleme araçlarının güvenilirliğini ve kullanılabilirliğini artırmak için daha fazla araştırma yapılmasını savundu. Araştırmacılar, yapay zeka modellerinin karmaşık sorguları ele alışını iyileştirme, çoklu dil desteğini genişletme ve dağıtımları için etik yönergeler oluşturma gibi alanları belirlediler.
Calyam, geleceğe baktığında, siber güvenlik önlemlerini güçlendirmede AI modellerinin gelecekteki yetenekleri konusunda iyimserliğini dile getirdi. AI modelleri, etik korsanlığa önemli ölçüde katkıda bulunma potansiyeline sahiptir,” diye belirtti. Devam eden gelişmelerle, dijital altyapımızı gelişen siber tehditlere karşı güçlendirmede önemli bir rol oynayabilirler.
Computers & Security dergisinde yayınlanan araştırma, etik saldırılarda yapay zekanın performansını değerlendirmek için bir ölçüt görevi görmenin yanı sıra, yapay zekanın güçlü yanlarından yararlanırken mevcut sınırlamalarına da saygı gösteren dengeli bir yaklaşımın savunuculuğunu yapıyor.
Yapay Zeka (AI), dünya çapında siber güvenlik uygulamalarının evriminde bir temel taşı haline geldi. Uygulamaları geleneksel yöntemlerin ötesine geçerek siber tehditleri belirlemek, azaltmak ve bunlara yanıt vermek için yeni yaklaşımlar sunuyor. Bu paradigmada, ChatGPT ve Google Gemini gibi büyük dil modelleri (LLM’ler), etik hackleme stratejilerini geliştirmek için insan benzeri metinleri anlama ve üretme kapasitelerinden yararlanarak temel araçlar olarak ortaya çıktı.
Etik Hacklemede ChatGPT ve Google Gemini’nin Rolü
Son yıllarda, AI’nın etik hacklemede kullanımı, siber saldırıları simüle etme ve sistemlerdeki güvenlik açıklarını belirleme potansiyeli nedeniyle dikkat çekmiştir. ChatGPT ve başlangıçta Bard olarak bilinen Google Gemini, siber güvenlikle ilgili karmaşık sorguları işlemek ve yanıtlamak üzere tasarlanmış LLM’lerin başlıca örnekleridir. Missouri Üniversitesi ve Amrita Üniversitesi tarafından yürütülen araştırma, bu modellerin yeteneklerini, profesyonellerin etik hackleme tekniklerindeki yeterliliğini değerlendiren standart bir değerlendirme olan CEH sınavını kullanarak incelemiştir.
Çalışma, hem ChatGPT’nin hem de Google Gemini’nin temel siber güvenlik kavramlarını anlama ve açıklamada övgüye değer bir performans sergilediğini ortaya koydu. Örneğin, üçüncü bir tarafın iki taraf arasındaki iletişimi engellediği bir taktik olan aracı saldırıyı açıklamakla görevlendirildiklerinde, her iki AI modeli de doğru açıklamalar sağladı ve koruyucu önlemler önerdi.
Araştırma bulguları, Google Gemini’nin genel doğruluk oranlarında ChatGPT’den biraz daha iyi performans gösterdiğini ortaya koydu. Ancak ChatGPT, siber güvenlik sorunlarına ilişkin kapsamlı ve anlaşılır içgörüler sağlama yeteneğini vurgulayarak yanıtların kapsamlılığı, netliği ve özlü olması konusunda dikkate değer güçlü yönler sergiledi. Bu ayrıntılı yeterlilik, AI modellerinin yalnızca siber tehditleri simüle etme değil, aynı zamanda siber güvenlik profesyonellerine ve meraklılarına değerli rehberlik sunma potansiyelinin altını çiziyor. Çalışmanın performans ölçütlerinin değerlendirilmesi, kapsamlılık, netlik ve özlü olma gibi ölçütleri kapsıyordu ve ChatGPT, Google Gemini’nin marjinal olarak daha yüksek doğruluk oranına rağmen üstün performans gösterdi.
Çalışmanın dikkat çekici bir yönü, AI modellerine ilk yanıtlarından sonra onay sorgularının (“Emin misiniz?”) eklenmesiydi. Bu yinelemeli yaklaşım, siber güvenlikte AI tarafından üretilen içgörülerin doğruluğunu ve güvenilirliğini iyileştirmeyi amaçlıyordu. Sonuçlar, hem ChatGPT’nin hem de Google Gemini’nin onay sorguları aldıktan sonra yanıtlarını sık sık ayarladığını, sıklıkla yanlışlıkları düzelttiğini ve çıktılarının genel güvenilirliğini artırdığını gösterdi.
Bu yinelemeli sorgu işleme mekanizması yalnızca AI modellerinin doğruluğunu iyileştirmekle kalmaz, aynı zamanda siber güvenlikteki insan uzmanlarının sorun çözme yaklaşımını da yansıtır. AI odaklı otomasyon ve insan denetimi arasındaki potansiyel sinerjiyi vurgulayarak siber güvenlik operasyonlarında iş birliğine dayalı bir yaklaşım için argümanı güçlendirir.
Gelecekteki Çalışmalar İçin Temel Hazırlık
ChatGPT ve Google Gemini gibi AI odaklı araçlar etik hacklemede umut vadeden yetenekler sunarken, bunların dağıtımında etik hususlar büyük önem taşıyor. Prasad Calyam, siber güvenlik amaçları için AI’dan yararlanmada etik standartların ve yönergelerin sürdürülmesinin önemini vurguladı. “Siber güvenlikte riskler yüksektir,” diye vurguladı. “AI araçları değerli içgörüler sağlayabilir, ancak insan siber güvenlik uzmanlarının eleştirel düşüncesini ve etik yargısını tamamlamalı, yerini almamalıdır.”
İleriye bakıldığında, AI’nın siber güvenlikteki rolü, devam eden ilerlemeler ve yenilikler tarafından yönlendirilerek önemli ölçüde evrim geçirmeye hazır. Missouri Üniversitesi ve Amrita Üniversitesi tarafından yürütülen işbirlikli araştırma, AI modellerinin etik hacklemedeki etkinliğini artırmayı amaçlayan gelecekteki çalışmalar için temel oluşturuyor. Keşfedilen temel alanlar arasında, yüksek bilişsel talep gerektiren karmaşık, gerçek zamanlı siber güvenlik sorgularını ele almada AI’nın yeteneğini geliştirmek yer alıyor. Ek olarak, çeşitli küresel siber güvenlik zorluklarını etkili bir şekilde desteklemek için AI modellerinin dilsel yeteneklerini genişletmeye yönelik bir baskı var.
Ayrıca, etik bilgisayar korsanlığı uygulamalarında AI’nın sorumlu bir şekilde konuşlandırılmasını sağlamak için sağlam yasal ve etik çerçeveler oluşturmak hayati öneme sahiptir. Bu çerçeveler yalnızca teknik yeterliliği artırmakla kalmayacak, aynı zamanda AI odaklı siber güvenlik çözümleriyle ilişkili daha geniş toplumsal etkileri ve etik zorlukları da ele alacaktır. Akademisyenler, endüstri paydaşları ve politika yapıcılar arasındaki iş birliği, siber güvenlikte AI’nın geleceğini şekillendirmede önemli bir rol oynayacaktır. Birlikte, dijital altyapıları ortaya çıkan tehditlere karşı korurken inovasyonu teşvik edebilir ve AI teknolojilerinin küresel olarak siber güvenlik uygulamalarına olumlu katkıda bulunmasını sağlayabilirler.