Hızlı enjeksiyon, AI güvenliğindeki en inatçı sorunlardan biri olarak şekilleniyor ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), bunun hiçbir zaman SQL enjeksiyonu gibi “düzeltilemeyeceği” konusunda uyardı.
İki yıl önce NCSC, hızlı enjeksiyonun “geleceğin SQL enjeksiyonu” olabileceğini söylemişti. Görünüşe göre durumun daha da kötü olduğunu fark etmeye başladılar.
Hızlı enjeksiyon işe yarıyor çünkü yapay zeka modelleri uygulamanın talimatları ile saldırganın talimatları arasındaki farkı anlayamıyor ve bu nedenle bazen yanlış olana uyuyorlar.
Bunu önlemek için yapay zeka sağlayıcıları modellerini korkuluklarla kurar: geliştiricilerin, temsilcilerin kasıtlı veya kasıtsız olarak yapmamaları gereken şeyleri yapmasını engellemeye yardımcı olan araçlar. Örneğin, bir temsilciye geniş ölçekte şarbon sporlarının nasıl üretileceğini açıklamasını söylemeye çalışırsanız, korkuluklar ideal olarak bu talebi istenmeyen olarak algılayacak ve kabul etmeyi reddedecektir.
Yapay zekanın bu sınırların dışına çıkmasını sağlamak genellikle jailbreak olarak anılır. Korkuluklar Yapay zeka modellerinin zararlı şeyler söylemesini veya yapmasını engellemeye çalışan güvenlik sistemleridir. Jailbreaking birisinin bu güvenlik sistemlerini aşmak ve modelin yapmaması gereken şeyi yapmasını sağlamak için bir veya daha fazla komut istemi oluşturmasıdır. Hızlı enjeksiyon bunu yapmanın özel bir yoludur: Saldırgan kendi talimatlarını kullanıcı girdisi veya harici içerik içinde gizler, böylece model orijinal korkuluklar yerine bu gizli talimatları takip eder.
ChatGPT, Claude veya Gemini gibi Büyük Dil Modelleri (LLM’ler) bir kutunun içindeki sohbet robotları olmayı bırakıp parayı hareket ettirebilen, e-posta okuyabilen veya ayarları değiştirebilen “otonom aracılar” olarak hareket etmeye başladığında tehlike daha da büyüyor. Bir model bir bankanın dahili araçlarına, İK sistemlerine veya geliştirici hatlarına bağlanırsa, başarılı bir anlık enjeksiyon, utanç verici bir yanıt olmaktan çıkar ve potansiyel bir veri ihlali veya dolandırıcılık olayı haline gelir.
Zaten çeşitli hızlı enjeksiyon yöntemlerinin ortaya çıktığını gördük. Örneğin araştırmacılar, Reddit’te gömülü talimatların yayınlanmasının, potansiyel olarak aracı tarayıcıların kullanıcının banka hesabını boşaltmasına yol açabileceğini buldu. Veya saldırganlar yapay zekayı bozmak için özel hazırlanmış tehlikeli belgeler kullanabilir. Görünüşte zararsız görüntüler bile anlık enjeksiyon saldırılarında silah haline getirilebilir.
Neden anında enjeksiyonu SQL enjeksiyonuyla karşılaştırmamalıyız?
Anlık enjeksiyonu “Yapay Zeka için SQL enjeksiyonu” olarak çerçeveleme eğilimi anlaşılabilir. Her ikisi de zararlı talimatları güvenli olması gereken bir şeye gizlice sokan enjeksiyon saldırılarıdır. Ancak NCSC, ekiplerin benzer bir tek hamlede düzeltmenin yakında olacağını varsaymasına yol açacaksa bu karşılaştırmanın tehlikeli olduğunu vurguluyor.
Yalnızca SQL enjeksiyon saldırılarıyla karşılaştırma bile beni tedirgin etmeye yetti. Belgelenen ilk SQL enjeksiyon istismarı 1998 yılında siber güvenlik araştırmacısı Jeff Forristal tarafından gerçekleştirilmişti ve bunları 27 yıl sonra bugün hala görüyoruz.
SQL enjeksiyonu yönetilebilir hale geldi çünkü geliştiriciler komutlar ile güvenilmeyen girdiler arasında kesin bir çizgi çizebildi ve daha sonra bu çizgiyi kitaplıklar ve çerçevelerle güçlendirebildi. LLM’lerde bu çizgi modelin içinde mevcut değildir: Her jeton, bir talimat olarak yorumlanması gereken adil bir oyundur. Bu nedenle NCSC, hızlı enjeksiyonun asla tamamen azaltılamayacağına ve daha fazla sistem Yüksek Lisans’ları hassas arka uçlara taktıkça bir veri ihlali dalgasına yol açabileceğine inanıyor.
Bu, yapay zeka modellerimizi yanlış kurduğumuz anlamına mı geliyor? Belki. Yüksek Lisans’ın başlığı altında veriler veya talimatlar arasında herhangi bir ayrım yapılmaz; sadece metinde şu ana kadarki en olası sonraki belirteci tahmin eder. Bu, “karışık milletvekili saldırılarına” yol açabilir.
NCSC, daha fazla kuruluşun üretken yapay zekayı en başından itibaren hızlı enjeksiyon için tasarlamadan mevcut uygulamalara entegre etmesiyle, sektörde 10-15 yıl önceki SQL enjeksiyonu kaynaklı ihlallere benzer bir olay artışı görebileceği konusunda uyarıyor. Muhtemelen daha da kötüsü, çünkü olası arıza modları şimdilik keşfedilmemiş alanlar.
Kullanıcılar ne yapabilir?
NCSC, geliştiricilere hızlı enjeksiyon risklerini azaltma konusunda tavsiyelerde bulunur. Peki kullanıcılar olarak nasıl güvende kalabiliriz?
- Yapay zeka ajanlarının sağladığı tavsiyelere biraz şüpheyle yaklaşın. Size ne söylediklerini bir kez daha kontrol edin, özellikle de önemliyse.
- Aracı tarayıcılara veya diğer aracılara sağladığınız yetkileri sınırlayın. Büyük mali işlemleri halletmelerine veya dosyaları silmelerine izin vermeyin. Bir geliştiricinin D sürücüsünün tamamının silindiğini tespit ettiği bu hikayeden uyarı alın.
- Yapay zeka asistanlarını yalnızca gerçekten ihtiyaç duydukları minimum veri ve sistemlere bağlayın ve kaybolması felaket olabilecek her şeyi kontrollerinin dışında tutun.
- Olağandışı davranışların tespit edilip araştırılabilmesi için yapay zeka odaklı iş akışlarını diğer açık yüzey ve günlük etkileşimleri gibi ele alın.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.