Yapay Zeka ve Makine Öğrenimi , Büyük Veri Güvenliği Analitiği , Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Ancak Yapay Zekanın Tüm Kötü Amaçlı Kullanım Durumları İçin Çok Daha İyi Alternatifler Var – En azından Şimdiye Kadar
Mathew J. Schwartz (euroinfosec) •
22 Şubat 2023
“Bunların hepsi iyi ve güzel, ama siber güvenlik için ne anlama geliyor?” Tüm yeni şeyler teknolojisindeki nakarat da böyledir ve ChatGPT de bir istisna değildir.
Ayrıca bakınız: İsteğe Bağlı | Bir Yanıt Sağlayıcı Seçmenin Gerçekleri
Şüphesiz 2023, büyük dil modellerinin veya LLM’lerin yılıdır. Microsoft, PowerPoint’e yapıştırılmak üzere talep üzerine oluşturulan resimlerden daha iyi Bing arama motoru sonuçlarına kadar ürünlerine “AI” yetenekleri eklemek için ChatGPT’nin yaratıcısı OpenAI’ye milyarlarca yatırım yapıyor. Google, rakibi Bard’ı bu ayın başlarında tanıttı ve Çinli Baidu, yaklaşımı Wenxin Yiyan – diğer adıyla Ernie Bot – yakında yayına gireceğini duyurdu.
Her yeni teknoloji türünde olduğu gibi, suçlular da AI sohbet robotlarının planlarını nasıl daha kolay ve daha karlı hale getirebileceğini sorguluyor. Özellikle komut dosyası çocukları, ChatGPT’nin ücretsiz olarak daha iyi kötü amaçlı yazılım oluşturmalarına yardımcı olup olmayacağını soruyor.
Sonuçlar son derece karışıktır. ON2IT Group’ta sıfır güvenin yaratıcısı ve siber güvenlik stratejisinden sorumlu kıdemli başkan yardımcısı John Kindervag, “Şu anda bunun bir yenilik olduğunu düşünüyorum” diyor. Ancak yapay zeka geliştikçe, “muhtemelen saldırganların daha karmaşık saldırılar yapmasına izin verecek ve dikkat etmeyen herkese kadeh kaldıracak” diyor.
Güvenlik araştırmacısı Marcus Hutchins, diğer adıyla MalwareTech, en azından şimdiye kadar, yapay zeka sohbet robotlarının daha iyi bir siber suç fare kapanı oluşturmak için kullanılmasına yönelik coşkunun saçmalık olduğunu söylüyor.
Örnek olarak, ChatGPT’ye Chrome için çerez çalan kötü amaçlı yazılım oluşturma talimatı verdi ve bunun hatalarla dolu işlevsel olmayan bir kod oluşturduğunu ve hata ayıklamak için gelişmiş beceriler gerektirdiğini gördü. Bu, programlamanın nasıl sadece teknik bir alıştırma olmadığını, bunun yerine tasarım seçimleri yapmayı ve sınırları anlamayı gerektirdiğini vurgular. Hutchins bir blog gönderisinde “Ancak o zaman fikirleri koda çevirmeye başlayabilirsiniz” diyor.
Suçluların, herkese açık kodlarla eğitilmiş yapay zeka sohbet robotlarını kullanma zahmetine girmesine gerek yok. Bunun yerine kaynağa gidebilirler. Hutchins, “Kodlama yeteneği sıfır olan biri kötü amaçlı yazılım isterse, Google’da ve GitHub’da kullanıma hazır binlerce örnek vardır” diyor Hutchins.
Artan bir başka endişe de suçluların, özellikle ana dilleri dışında daha iyi kimlik avı e-postası tuzakları oluşturmak için yapay zeka sohbet robotlarını kullanacak olmasıdır.
Google Çeviri, elbette bunu zaten ücretsiz olarak yapıyor. Ancak kanıtlanmış yaklaşım, Hutchins’in “siber suçluların onlarca yıldır yaptığını” söylediği, bunun yerine birden fazla dilde akıcı olan birine “küçük bir ücret” ödemektir. Ayrıca ChatGPT, gerçekmiş gibi görünen kimlik avı e-postaları tasarlayamaz. Ancak suçlular bunu, meşru bir e-postadan HTML kodunu kopyalayıp yapıştırarak yapabilirler.
Şimdiye kadar, ChatGPT’nin ortaya çıkardığı ana siber suç tehdidi – Dünya Kupası, Olimpiyatlar, doğal afetler ve diğer yüksek profilli olaylar gibi – onlara başvurmak için kendi tuzaklarını kuran suçlular oldu. Tehdit istihbaratı firması Cyble’a göre, şimdiden birden fazla sahte OpenAI sosyal medya sayfası kötü amaçlı yazılım yaymak için kullanılıyor, kötü amaçlı Android uygulamaları ChatGPT simgesini ve adını kullanıyor ve kimlik avı siteleri ChatGPT’ye abone olmak için resmi sayfalar gibi davranarak kredi kartı verilerini çalıyor. .
LLM’lerin kullanımı ayrıca bazı veri güvenliği, gizlilik ve bütünlük türleri için bilinmeyen riskler oluşturur. Bir AI chatbot’un öngörü yetenekleri, bir hastanın tıbbi çizelgesi için test sonuçlarını özetlemek veya bir tedavi süreci önermek için kullanıldığında ortaya çıkabilecek kaosu bir düşünün. Yapay zeka sohbet robotu hüküm ve koşullarının sağlık hizmetleri amacıyla kullanılmalarını yasaklamasının bir nedeni de budur.
Güven mi, Güvensizlik mi?
Sıklıkla, yeni teknoloji, çözülecek bir problem arayan bir dizi mühendislik yeteneğinden biraz daha fazlasıdır. Spekülatif kurgu yazarı William Gibson’ın sözlerini ödünç alacak olursak: Yapay zeka sohbet robotlarına gelince, “bu özel tada güvenmemeli miyiz”?
Kesinlikle, ChatGPT mükemmel olmaktan uzaktır ve gerçekleri sentezleme girişimi genellikle olgusal yanlışlıklarla sonuçlanır. Tüm LLM’ler aynı zamanda, Bard’ın yakın zamanda bir tanıtım videosunda yanlış bir yanıt vererek Google’ın hisse senetlerini alt üst etmesine neden olarak gösterdiği gibi, “çöp içeri, çöp dışarı” sorunundan muzdariptir.
Araştırmacılar, ChatGPT’nin büyük ölçekte yanlış bilgi yayma potansiyeline sahip olduğunu keşfettiler çünkü bu, üzerinde eğitim aldığı konuların bir parçası. Bilgili teknoloji firmaları, tıpkı robotları engellemek için CAPTCHA’ları kullanmanın Google’ın görüntü tanıma araçlarını iyileştirmek için insanlardan faydalanmasına yardımcı olması gibi, muhtemelen gerçekle kurguyu ayırma görevini müşterilerine devretmeye çalışacaklar.
Bunun için kime kredi vereceğimi bilmiyorum, ama… pic.twitter.com/DuzAsm067H– William Gibson (@GreatDismal) 20 Şubat 2023
LMM’ler daha iyi eğitildikçe, muhtemelen AI hata oranları düşecektir.
Bu arada Palo Alto Networks CEO’su Nikesh Arora, ChatGPT’nin büyük veri kümelerini özetlemenin yanı sıra insani eğlendirme ve bilgilendirme yeteneğinin “güvenliğin başına gelen en iyi şey” olduğunu çünkü müşterilerin araçlarının ne yapması gerektiğine ilişkin beklentilerini artırdığını söylüyor. yapabilir olmak. Yapay zeka aracılığıyla temiz, kapsamlı ve gerçek zamanlı sonuçlar sağlayabilen satıcılar, muhtemelen gelişmeye hazırdır.
Siber Suç İş Örneği
Ancak siber suçlular için iş durumu, en azından yakın vadede, daha az net. Hutchins, belki de suçluların trol çiftliği içeriği hazırlamak veya teknik destek dolandırıcılığı yapmak gibi görevleri otomatikleştireceğini söylüyor.
Ticari suçlular ne icat etmeye çalışıyor olursa olsun, yine de yatırım getirisi göstermesi gerekecek. Örneğin geçen sonbaharda, Conti fidye yazılımı grubunun eski üyeleri, kurbanları bilgisayarlarına uzaktan kontrol yazılımı yüklemeleri için kandırmak için kullandıkları bir çağrı merkezindeki 45 çalışanı işten çıkardı, New York merkezli tehdit istihbaratı firmasının baş araştırma görevlisi Yelisey Boguslavskiy Red Sense, The Wall Street Journal’a anlatıyor.
Sorun, diyor, suçluların çağrı merkezi para kaybediyordu. “Zamanla etkinliği düştüğü için yeterli gelir sağlamıyordu” diyor bana. 2022 baharında piyasaya sürüldüğünde, “yeniyken, metodoloji çılgınca etkiliydi, ancak daha sonra tanınmaya başlandı.”
AI sohbet robotlarını kullanmak, bu tür sorunları sihirli bir şekilde ortadan kaldırmaz, CEO dolandırıcılığı yapma veya fidye ödemeleri için pazarlık yapma gibi hassas görevlerde onlara güvenmeye yol açmaz – her ikisi de büyük kazançlar olmaya devam ediyor. Boguslavskiy, “Hiç kimse müzakereler veya diğer toplum mühendisliği görevleri gibi önemli bir şeyi otomatikleştirmez” diyor. “Bu görevlerin tamamlanması çok sınırlı bir süre alıyor ancak son derece önemli, dolayısıyla hepsi el yapımı.”
Ancak devam eden fidye yazılımı belasının da gösterdiği gibi, birçok suçlu daha yenilikçi iş modelleri yaratma konusunda uzmandır. AI için ne gibi kullanımlar bulabileceklerini kim bilebilir.
Bu nedenle, sıfır güven yaratıcısı Kindervag, yazının, onunki gibi stratejileri – insan veya makine tarafından üretilen her türlü saldırıyı püskürtmek için tasarlanmış stratejiler – yerleştirmek için duvarda olduğunu söylüyor. “Biz sadece bir koruma yüzeyini korumaya odaklandık” – kritik veriler, varlıklar, uygulamalar ve hizmetler – ve bunu yapmak için doğru politikalara sahip olarak, saldırı türü önemli değil, diyor.
Başka bir deyişle, doğru yaklaşımla, bir gün ondan yapması istenebilecek her ne olursa olsun, AI’dan korkmaya kimin ihtiyacı var?