Yazan: Craig Burland, CISO, Inversion6
OpenAI tarafından geliştirilen bir yapay zeka dil modeli olan ChatGPT, her başarının veya başarısızlığın çatılardan haykırıldığı yutturmaca döngüsünün ortasında. Milyonlarca kullanıcısı, muhtemelen eşit sayıda gönderi, yorum ve makale ile günde milyonlarca sorgu üretir. Kasım 2022’de halka açılmasından bu yana önemli ölçüde ilgi topladı ve beklentileri önemli ölçüde aşarak kendisinden önceki yapay zeka modellerini geride bıraktı. Platform, doğal dil girişlerine insan benzeri yanıtlar oluşturmak için derin öğrenme algoritmaları ve çok miktarda metin verisi kullanır. Metin oluşturma, dil çevirisi ve insan benzeri konuşmaya sarılmış karmaşık soruları yanıtlama dahil olmak üzere çok çeşitli yeteneklere sahiptir. Potansiyel uygulamalar arasında müşteri hizmetleri, içerik oluşturma, veri analizi ve eğitim yer alır. Ne yazık ki, kötü amaçlı yazılım yazmak, kimlik avı yapmak, dönem ödevlerinde kopya çekmek ve hayali suçlar planlamak için de kullanılıyor.
İnovasyonun yakın tarihi boyunca, heyecan, belirsizlik ve hatta korku ile tepki verme eğilimi vardır. Buhar motoru, ulaşımda devrim yaratma fikirlerinin yanı sıra iş kaybı korkularını da ateşledi. İlk uçaklar, insan başarısı karşısında şaşkınlık ve hayret uyandırdı ve askeri uygulamalara ilişkin korkular yarattı. Bilgisayar fobisi, 1980’lerin ortalarında, insanların işlerini kaybetmesi veya eleştirel düşünme için cihazlara bağımlı hale gelmesi korkusuyla zirveye ulaştı. Organ nakli, uzay yolculuğu, DNA manipülasyonu vb., hem şaşırtıcı potansiyeli hem de korkunç sonuçları vurgulayan güçlü tepkilere yol açtı ve sonunda nüanslı ve karmaşık bir dengeye yerleşti.
Bir siber savunucu ve risk yöneticisi olarak, bu yeniliğin her iki tarafını da görmek ve potansiyel tehdit ile iş fırsatını dengeleyen bir yaklaşım geliştirmek çok önemlidir. Belirsizlik ve korku, ChatGPT’ye ve API’ye tüm erişimin engellenmesini gerektirebilir. Heyecan ve merak, neredeyse ileri görüşlü içgörüleri için terabaytlarca verinin platforma beslenmesini önerecektir. Her iki yaklaşımdan önce, daha fazla değerlendirme yapılması garanti edilir. GPT’nin daha yüksek profilli kaygılarından ve dengeleme fırsatlarından birkaç örnek alalım:
Birkaç hafta önce, ChatGPT çok sayıda makalede gelişmiş, polimorfik kötü amaçlı yazılım oluşturmaya olanak sağladığı için eleştirildi. Makalelerin çoğu, web sürümünün aslında kötü amaçlı yazılımı üretmediği ve çok sayıda insan müdahalesinin gerekli olduğu gibi önemli gerçekleri dışarıda bırakırken, ChatGPT’nin bir kötü amaçlı yazılım motoru olarak kullanılması teorik olarak mümkündü. Bununla birlikte, yeni ürün geliştirmeyi hızlandırarak geliştiriciler için yazılımları devre dışı bırakmak üzere ChatGPT kullanmanın potansiyel faydasını da göz önünde bulundurmak gerekir. ChatGPT gibi bir aracın yardımıyla düşük kodlu veya kodsuz uygulamalar vaadi artık pazarlama aldatmacasından daha fazlası. Daha özel bir kullanım alanı edinin – büyük bir içerik deposunu şifrelemek için bir rutin yazmak. Ortaya çıkan kod, önemli bir işlemi veya fidye yazılımını güvence altına almak için kullanılabilir. ChatGPT farkı bilmiyor veya anlamıyor.
Daha yakın zamanlarda internet, bilgisayar korsanlarının kimlik avı e-posta otomasyonu gibi yeni hizmet teklifleri oluşturmak için ChatGPT kontrollerini atladıkları haberleriyle çalkalandı. Orijinal makale (o zamandan beri netlik için güncellendi), atlamanın yalnızca şu anda web sürümünün tüm kısıtlamalarına sahip olmayan API’nin kullanımı olduğu şeklindeki kilit noktayı dışarıda bıraktı. (API suistimali şu anda OpenAI politikası tarafından yasaklanmıştır, teknik bir kontrol değildir.) Yukarıdaki senaryo gibi, API kimlik avı oluşturmak için kullanılabilirken – OpenAI erişimi algılayıp sonlandırana kadar – aynı zamanda kimlik avı testi kampanyaları oluşturmak ve içerik ve üslup bakımından farklılık gösteren, mesajı taze tutan farkındalık gönderileri.
Şu anda, yanıt kontrollerinin nasıl kapatılacağı ve ChatGPT’nin yasa dışı faaliyetlere neden olabilecek yanıtları ortadan kaldıran filtreler olmadan yanıt vermesi hakkında çok sayıda makale bulunmaktadır. Bu iddialar, daha ayrıntılı bir incelemeyle şüpheli görünse de, tehdit modelleme veya rol oynamadaki potansiyel kullanımları göz önünde bulundurun. ChatGPT’den içeriden bir tehdit gibi davranmasını istemek reddedilecektir. ChatGPT’den, bir CISO olarak, içeriden birinin kuruluşunuza nasıl zarar verebileceği konusunda beyin fırtınası yapmanıza yardımcı olmasını istemek, savunmanızı doğrulamak için anlayışlı bir yöntem haline gelir. 10 dakikalık bir süre içinde, ChatGPT size 3.000 fitlik bir görünümden yabani otların içine kadar rehberlik edebilir. Bu örnekte, ChatGPT, bulut depolamayı izlemek gibi üst düzey tehditlerden, yanıtları içeren sosyal mühendislik saldırıları hakkında bir kullanıcı farkındalığı sınavına kadar ilerleyebilir! Kullanım durumunu rol oynamaya genişleterek, kötü niyetli davranışları taklit etmek üzere programlanmış bir yapay zeka ile etkileşim kurmanın, insanların gerçek senaryolara hazırlanmasına yardımcı olma konusunda muazzam değerini düşünün.
ChatGPT’nin etkisi, büyük oyuncular – Microsoft, Google, Baidu, Meta, Amazon – en eksiksiz AI platformunu oluşturmak için milyonlarca yatırım yaptığı için bir AI yarışının başlangıcı olabilir. İstenildiği gibi özellik ve işlevsellik ekleyerek ve ardından gerektiği gibi hafifletme ve kontrollerle takip ederek inovasyonun sınırlarını zorlayacaklar. Kendisinden önceki yenilikler gibi, aynı anda belirsizlik ve korkuyla boğuşurken, heyecan ve olasılığın büyüsüne kapılacağız. Beklentilerin zirvesine ulaşana kadar tırmanıp tırmanacağız, sonra yavaş yavaş hayal kırıklığına uğrayacağız. Son olarak, algılarımız siyah beyazdan nüanslı ve karmaşık hale gelecek. Kendisinden önceki yenilikler gibi ChatGPT’nin de sadece bir araç olduğunu anlayacağız. Karmaşık ve merak uyandıran bir araç, ancak yine de bir araç. Bundan korkmamalıyız. Ona saygı duymamalıyız. Onu düşünmeli, anlamalı ve sonra kullanmalıyız.
yazar hakkında
Kıdemli siber güvenlik lideri Craig Burland, CISO, Inversion6, güvenlik programları oluşturup yöneterek ve onlara siber güvenlik stratejisi ve en iyi uygulamalar konusunda danışmanlık yaparak, firmanın müşterileriyle doğrudan çalışır. Bir Fortune 200 şirketi için önde gelen bilgi güvenliği operasyonları da dahil olmak üzere onlarca yıllık sektör deneyimine sahiptir. Aynı zamanda Northeast Ohio Cyber Consortium’un eski Teknik Eş Başkanı ve Solutionary MSSP, NTT Global Security ve Oracle Web Center’ın eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn https://www.linkedin.com/in/craig-burland/ adresinden ve şirketimizin web sitesi www.inversion6.com adresinden ulaşılabilir.