Pazartesi günü Google, şirketin web tarayıcısına ajansal yapay zeka (AI) yeteneklerini eklemesinin ardından Chrome’da bir dizi yeni güvenlik özelliği duyurdu.
Bu amaçla teknoloji devi, kötü aktörlerin güvenilmeyen web içeriğine maruz kalmanın bir sonucu olarak ortaya çıkan dolaylı anlık enjeksiyonlardan yararlanmasını ve zarar vermesini zorlaştırmak için katmanlı savunmalar uyguladığını söyledi.
Özelliklerin başında, aracının eylemlerini kötü niyetli istemlerden izole edilmiş bir şekilde bağımsız olarak değerlendirmek için ikinci bir model kullanan Kullanıcı Hizalama Eleştirmeni gelir. Bu yaklaşım, Google’ın, modele bir web sayfasında yerleşik olanlara uymak yerine kullanıcı ve sistem talimatlarına bağlı kalması talimatını veren ön plana çıkarma gibi mevcut tekniklerini tamamlıyor.
Google, “Kullanıcı Hizalama Eleştirmeni, planlama tamamlandıktan sonra önerilen her eylemi tekrar kontrol etmek için çalışır” dedi. “Birincil odak noktası görev hizalamasıdır: önerilen eylemin kullanıcının belirttiği hedefe hizmet edip etmediğini belirlemek. Eylem yanlış hizalanmışsa, Hizalama Eleştirmeni bunu veto edecektir.”
Bileşen, yalnızca önerilen eylemle ilgili meta verileri görüntüleyecek şekilde tasarlanmıştır ve güvenilmez herhangi bir web içeriğine erişimi engellenir, böylece bir web sitesine dahil edilebilecek kötü niyetli istemler yoluyla zehirlenmemesi sağlanır. Kullanıcı Hizalama Eleştirmeni ile amaç, saldırganın teklifini gerçekleştirmek için verileri sızdırmaya veya amaçlanan hedefleri ele geçirmeye yönelik her türlü kötü niyetli girişime karşı koruma sağlamaktır.
Chrome güvenlik ekibinden Nathan Parker, “Bir eylem reddedildiğinde, Eleştirmen, planını yeniden formüle etmesi için planlama modeline geri bildirim sağlar ve tekrarlanan hatalar olması durumunda planlayıcı, kontrolü kullanıcıya geri verebilir” dedi.
Google ayrıca, aracının yalnızca eldeki görevle ilgili kaynaklardan veya kullanıcının aracıyla paylaşmayı seçtiği veri kaynaklarından gelen verilere erişebilmesini sağlamak için Aracı Köken Setleri adı verilen yöntemi de uyguluyor. Bu, güvenliği ihlal edilmiş bir aracının rastgele sitelerle etkileşime girebildiği ve oturum açmış sitelerden veri sızdırmasını mümkün kıldığı site izolasyonu atlamalarını ele almayı amaçlamaktadır.
Bu, hangi kökenlerin görevle ilişkili olduğunu belirleyen ve bunları iki gruba ayıran bir geçit işlevi aracılığıyla uygulanır:
- Google’ın Gemini AI modelinin içerik kullanmasına izin verilen salt okunur kaynaklar
- Aracının okumaya ek olarak yazabileceği veya tıklayabileceği okunabilir-yazılabilir kaynaklar
Google, “Bu sınırlama, aracının yalnızca sınırlı sayıda kaynaktan gelen verilere erişebilmesini ve bu verilerin yalnızca yazılabilir kaynaklara aktarılabilmesini zorunlu kılıyor” diye açıkladı. “Bu, çapraz menşeli veri sızıntılarının tehdit vektörünü sınırlıyor.”
Kullanıcı Hizalama Eleştirmeni’ne benzer şekilde, geçit işlevi güvenilmeyen web içeriğine maruz kalmaz. Planlayıcının ayrıca, yeni kökenler eklemeden önce geçit fonksiyonunun onayını alması gerekir, ancak bir kullanıcının bir oturumda açıkça paylaştığı web sayfalarındaki bağlamı kullanabilir.
Yeni güvenlik mimarisini destekleyen diğer bir temel dayanak şeffaflık ve kullanıcı kontrolü ile ilgilidir; bu sayede aracı, kullanıcının gözlemlenebilirliği için bir çalışma günlüğü oluşturabilir ve bankacılık ve sağlık portalları gibi hassas sitelere gitmeden, Google Şifre Yöneticisi aracılığıyla oturum açmaya izin vermeden veya satın alma, ödeme yapma veya mesaj gönderme gibi web işlemlerini tamamlamadan önce açık onaylarını talep edebilir.
Son olarak, aracı ayrıca her sayfayı dolaylı istem eklemeleri açısından kontrol eder ve olası şüpheli içeriği engellemek için Güvenli Tarama ve cihaz içi dolandırıcılık algılamayla birlikte çalışır.
Google, “Bu istem enjeksiyonlu sınıflandırıcı, planlama modelinin çıkarımına paralel olarak çalışır ve sınıflandırıcının, modeli kullanıcının hedefiyle uyumlu olmayan bir şey yapmak için kasıtlı olarak hedeflediği içeriğe dayalı olarak eylemler yapılmasını önleyecektir” dedi.
Araştırmayı daha da teşvik etmek ve sistemde delikler açmak amacıyla şirket, güvenlik sınırlarının ihlaliyle sonuçlanan gösteriler için 20.000 dolara kadar ödeme yapacağını açıkladı. Bunlar, bir saldırganın şunları yapmasına olanak tanıyan dolaylı istem enjeksiyonlarını içerir:
- Onay almadan hileli eylemler gerçekleştirin
- Kullanıcı onayı için etkili bir fırsat olmadan hassas verileri sızdırın
- İdeal olarak saldırının ilk etapta başarılı olmasını engellemesi gereken bir hafifletme önlemini atlayın
Google, “Köken izolasyonu ve katmanlı savunmalar gibi bazı temel ilkeleri genişleterek ve güvenilir bir model mimarisi sunarak Gemini’nin Chrome’daki aracılı deneyimleri için güvenli bir temel oluşturuyoruz” dedi. “Chrome kullanıcılarının web’in bu yeni çağını güvenli bir şekilde keşfedebilmelerini sağlamak için sürekli yenilik yapmaya ve güvenlik topluluğuyla işbirliği yapmaya kararlıyız.”
Duyuru, Gartner’ın dolaylı istem enjeksiyonları, hatalı aracı eylemleri ve veri kaybı gibi ilgili riskler uygun şekilde yönetilinceye kadar kuruluşlara aracı yapay zeka tarayıcılarının kullanımını engelleme çağrısında bulunan araştırmasının ardından geldi.
Araştırma aynı zamanda çalışanların “Yapay zeka tarayıcılarını kullanmaya ve zorunlu, tekrarlanan ve daha az ilginç olan belirli görevleri otomatikleştirmeye yönelebileceği” olası bir senaryoya karşı da uyarıda bulunuyor. Bu, bir kişinin yapay zeka tarayıcısına eğitimi kendisi adına tamamlaması talimatını vererek zorunlu siber güvenlik eğitiminden kaçtığı durumları kapsayabilir.
Danışmanlık firması, “Ajantik tarayıcılar veya çoğu kişinin yapay zeka tarayıcısı dediği şey, kullanıcıların web siteleriyle etkileşimini dönüştürme ve işlemleri otomatikleştirme potansiyeline sahipken, aynı zamanda kritik siber güvenlik risklerini de beraberinde getiriyor” dedi. “CISO’lar, riske maruz kalmayı en aza indirmek için öngörülebilir gelecekte tüm AI tarayıcılarını engellemelidir.”
Gelişme, ABD Ulusal Siber Güvenlik Merkezi’nin (NCSC), büyük dil modellerinin (LLM’ler) hızlı enjeksiyon olarak bilinen kalıcı bir güvenlik açığı sınıfından muzdarip olabileceğini ve sorunun hiçbir zaman bütünüyle çözülemeyeceğini söylemesinin ardından geldi.
NCSC Platform Araştırması teknik direktörü David C, “Mevcut büyük dil modelleri (LLM’ler), komut istemi içindeki talimatlar ve veriler arasında bir güvenlik sınırı uygulamamaktadır” dedi. “Bu nedenle tasarım korumalarının, kötü amaçlı içeriğin LLM’ye ulaşmasını engellemeye çalışmak yerine, sistemin eylemlerini kısıtlayan deterministik (LLM olmayan) korumalara daha fazla odaklanması gerekiyor.”