Rezilion’a göre birçok popüler üretken yapay zeka projesi, artan bir güvenlik tehdidi oluşturuyor ve güvenli olmayan üretken yapay zeka kullanan açık kaynaklı projeler ve LLM’ler de zayıf güvenlik duruşuna sahip, bu da kuruluşlar için önemli risk içeren bir ortama neden oluyor.
LLM’lerdeki gelişmeler
Üretken yapay zeka, daha önce hiç olmadığı gibi içerik oluşturma, içerikle etkileşim kurma ve tüketme konusunda bize güç vererek popülaritesini artırdı. GPT (Generative Pre-Trained Transformers) gibi LLM’lerdeki dikkate değer ilerlemelerle, makineler artık insan benzeri metin, resim ve hatta kod üretme yeteneğine sahip. Bu teknolojileri entegre eden açık kaynaklı projelerin sayısı artık katlanarak artıyor.
Örnek olarak, OpenAI’nin ChatGPT’yi yedi ay önce piyasaya sürmesinden bu yana, şu anda GitHub’da GPT-3.5 LLM ailesini kullanan 30.000’den fazla açık kaynaklı proje var.
Bu teknolojilere yönelik artan talebe rağmen, GPT ve LLM projeleri, bunları kullanan kuruluşlar için güven sınırı riskleri, veri yönetimi riskleri, içsel model riskleri ve genel güvenlik endişeleri dahil olmak üzere çeşitli güvenlik riskleri sunar.
Üretken yapay zeka güvenlik riskleri
Üretken yapay zekanın veya gelişmekte olan herhangi bir teknolojinin, özellikle LLM’lerin erken benimsenmesi, kapsamlı risk değerlendirmesi ve tüm yazılım geliştirme yaşam döngüsü (SDLC) boyunca sağlam güvenlik uygulamalarına bağlı kalmayı gerektirir. Kuruluşlar, güvenlik risklerine gereken önemi vererek, en yüksek inceleme ve koruma standartlarını korurken üretken yapay zeka çözümlerinin benimsenip benimsenmeyeceği ve nasıl benimseneceği konusunda bilinçli kararlar alabilir.
Rezilion Güvenlik Açığı Araştırma Direktörü Yotam Perkal, “Üretken yapay zeka her yerde giderek daha yaygın hale geliyor, ancak olgunlaşmamış ve riske son derece yatkın,” dedi. uygun güvenlik korkulukları olmadan. Araştırmamız aracılığıyla, güvenli olmayan üretken AI ve LLM’leri kullanan açık kaynaklı projelerin de zayıf güvenlik duruşuna sahip olduğunu aktarmayı amaçladık. Bu faktörler, kuruluşlar için önemli risk içeren bir ortama neden olur.”
Eğitimden bilince
Rezilion’un araştırma ekibi, GitHub’daki en popüler 50 üretken yapay zeka projesinin güvenlik durumunu inceledi. Araştırma, LLM açık kaynak ekosistemini nesnel olarak değerlendirmek ve birçok LLM tabanlı projedeki olgunluk eksikliğini, temel güvenlik en iyi uygulamalarındaki boşlukları ve potansiyel güvenlik risklerini vurgulamak için Açık Kaynak Güvenlik Vakfı (OSSF) Puan Kartını kullanır.
Önemli bulgular, düşük puanlı çok yeni ve popüler projeleri ortaya çıkararak endişeleri vurgulamaktadır:
- Ortalama 15.909 yıldızla son derece popüler
- Son derece olgunlaşmamış, ortalama yaş 3.77 ay
- 10 üzerinden ortalama 4,60 puanla çok zayıf güvenlik duruşu, herhangi bir standarda göre düşüktür. Örneğin, GitHub’daki en popüler GPT tabanlı proje olan Auto-GPT, 138.000’den fazla yıldıza sahiptir, üç aydan daha yenidir ve Puan Kartı puanı 3,7’dir.
Üretken yapay zeka sistemlerinin güvenli bir şekilde devreye alınması ve işletilmesi için aşağıdaki en iyi uygulamalar ve rehberlik önerilir: ekipleri herhangi bir yeni teknolojiyi benimsemeyle ilişkili riskler konusunda eğitin; LLM’ler ve açık kaynak ekosistemleriyle ilgili güvenlik risklerini değerlendirmek ve izlemek; sağlam güvenlik uygulamaları uygulayın, kapsamlı risk değerlendirmeleri yapın ve bir güvenlik bilinci kültürü geliştirin.
Üretken yapay zeka modellerinin ve ekosistemlerinin benimsenmesine ilişkin önemli güvenlik sorunları olsa da, yapay zeka teknolojileri heyecan verici, güçlü ve kalıcı.