Yapay zeka geniş ilgi gördü ve çok sayıda fayda sunuyor. Ancak hızlı ilerlemesi ve yaygın biçimde benimsenmesi, özellikle siber güvenlik alanında çalışan bizler için endişeleri artırıyor. Bu kadar ilgi karşısında, pek çok güvensiz uygulama cihazlarımıza ve diğer uç noktalara ulaşıyor ve “kötü adamların” verilerimizi çalması için daha fazla yol açıyor.
Açık kaynak topluluklarında geliştirilen uygulamalar, ücretsiz olmaları, yaygın olarak kullanılabilir olmaları, gönüllüler tarafından desteklenmeleri ve diğer hususlar nedeniyle sıklıkla daha önemli güvenlik sorunlarıyla karşı karşıya kalır. Büyük bir açık kaynaklı yapay zeka projesinin güvenliği henüz ihlal edilmemiş olsa bile, bunun gerçekleşmesi yalnızca an meselesi.
Öyleyse açık kaynak yapay zeka güvenliğinin neden eksik olduğunu ve güvenlik profesyonellerinin bunu geliştirmek için neler yapabileceğini keşfedelim.
Geleceğe dönüş: Yapay zeka bir yazılımdır
Öncelikle yapay zekanın yazılımdan farklı bir şey olmadığını kabul etmek önemlidir; bu bir yazılımdır. Bu haliyle BT sistemlerinin işleyişinin ve dolayısıyla yazılım tedarik zincirinin bir parçasıdır. Yapay zekaya diğer herhangi bir kod parçası veya eserle aynı şekilde davranılmalıdır.
Aynı derecede önemli olan, yazılım tedarik zinciri güvenliğinin yalnızca web uygulamaları, komut satırı araçları veya yazılımdan bahsederken en sık düşünülen diğer şeylerle ilgili olmamasıdır. Kuruluşlar yazılım geliştirirken, dağıtırken ve dağıtırken her bileşeni ve süreci korur. Bunu, sistem dağıtım yaşam döngüsüne (SDLC) uygulanan siber güvenlik olarak düşünebilirsiniz. Kodlama ve derlemeden üretim, dağıtım ve bakıma kadar yazılım geliştirmenin her aşaması söz konusudur ve güvenli olması gerekir.
Yapay zeka yazılımı tedarik zincirinde ne ters gidebilir?
Yapay zeka tedarik zincirindeki zorluklar, daha geniş yazılım tedarik zincirindeki zorlukları yansıtıyor ve büyük dil modellerini (LLM’ler) veya makine öğrenimi (ML) modellerini kurumsal çerçevelere entegre ederken daha fazla karmaşıklık yaratıyor.
Örneğin, bir finans kurumunun kredi riski değerlendirmesi için yapay zeka modellerinden yararlanmaya çalıştığı bir senaryoyu düşünün. Bu uygulama, kredi onay süreçlerinde korunan kategorilerin yasaklanması gibi düzenleyici standartlara uygunluğu sağlamak için yapay zeka modelinin yazılım tedarik zincirinin ve eğitim veri kaynaklarının titizlikle incelenmesini gerektirir.
Örnek olarak bir bankanın yapay zeka modellerini kredi riski değerlendirme prosedürlerine nasıl entegre ettiğini inceleyelim. Düzenlemeler, kredi onay kriterlerine sıkı sıkıya bağlı kalmayı zorunlu kılıyor; ırk, cinsiyet, ulusal köken ve diğer demografik özelliklerin belirleyici faktörler olarak kullanılmasını yasaklıyor. Bu nedenle bankanın, yasal veya düzenleyici zorluklara yol açabilecek önyargıları önlemek için yapay zeka modelinin yazılım ve eğitim verileri tedarik zincirini dikkate alması ve değerlendirmesi gerekir.
Bu sorun bireysel kuruluşların ötesine uzanıyor. Daha geniş yapay zeka teknolojisi ekosistemi endişe verici trendlerle karşı karşıyadır. Son araştırmalar, açık kaynaklı yapay zeka yazılım araçlarının güvenlik durumu ile popülerlikleri arasında ters bir ilişki olduğunu gösteriyor. Basitçe söylemek gerekirse, açık kaynaklı bir yapay zeka aracı veya modeli ne kadar yaygın olarak benimsenirse, sahip olabileceği güvenlik açıkları da o kadar büyük olur.
Ayrıca potansiyel olarak yasa dışı veya etik olmayan veriler üzerinde eğitilen açık kaynaklı yapay zeka modellerinin yaygınlığı, kullanıcılar için önemli yasal ve düzenleyici riskler oluşturmaktadır. Bu açıklama, yapay zeka tedarik zincirinde güvenli ve emniyetli kullanımı garanti etmek için gelişmiş önlemlerin alınması zorunluluğunu vurguluyor. Yapay zekanın geleceği umut verici olsa da, bu zorlukların ele alınması, yapay zekanın sorumlu bir şekilde benimsenmesi ve sürdürülebilir başarısı açısından çok önemlidir.
Güvenlik profesyonelleri neler yapabilir?
Açık kaynağın güvenliğini sağlamak, aşağıdakiler de dahil olmak üzere birden fazla yola odaklanmayı gerektirir:
- Güvenlik özellikleri: Yazılım Malzeme Listesi (SBOM’lar), SLSA (Yazılım Eserleri için Tedarik Zinciri Seviyeleri) ve SARIF (Statik Analiz Sonuçları Değişim Formatı) gibi temel güvenlik meta verilerini talep ederek açık kaynak topluluğu içinde daha fazla şeffaflık ve hesap verebilirliği savunun.
- Açık kaynak güvenlik araçları: Allstar, GUAC gibi güvenlik projelerine destek sunan şirketlerle işbirliği yapın ve açık kaynak yeniliklerinden yararlanmaya devam ederken bazı sorumlulukları üstlenin.
- Açık kaynağa endüstri katkıları ve finansman: Kritik açık kaynak projelerini güvence altına almak için spesifikasyonlar, araçlar ve girişimler geliştiren Açık Kaynak Güvenlik Vakfı (OpenSSF) gibi kuruluşların desteklenmesi çok önemlidir.
CISO’lar ve güvenlik ekipleri, güvenliğini sağlamak için kuruluşlarının ortamlarındaki yazılım hakkında bilgiye ihtiyaç duyar. CISO’lar bu bilgilerle ortamlarına entegre ettikleri yazılım bileşenleri hakkında bilinçli, risk bazlı kararlar alabilirler. Katkı veya yatırım olmaksızın güvenlik için gönüllü çabalara güvenmek sürdürülemez ve etkisizdir.