Güvenlik uzmanları, yapay zekadaki (AI) yenilikler hızla devam ederken, 2024’ün kuruluşların ve yönetim organlarının yapay zekanın kendilerinin önüne geçmesini önlemek için güvenlik standartları, protokoller ve diğer korkuluklar oluşturması açısından çok önemli bir zaman olacağı konusunda uyarıyor.
Gelişmiş algoritmalar ve büyük veri kümeleriyle desteklenen büyük dil modelleri (LLM’ler), olağanüstü dil anlayışı ve insani konuşma yetenekleri sergiliyor. Bu platformların bugüne kadarki en gelişmişlerinden biri, gelişmiş akıl yürütme ve problem çözme yeteneklerine sahip olan ve şirketin ChatGPT botuna güç veren OpenAI’nin GPT-4’üdür. Şirketin CEO’su Sam Altman’ın söylediğine göre Microsoft ile ortaklaşa GPT-5 üzerinde çalışmaya başlandı. çok daha ileri gidecek – “süper zekaya” sahip olma noktasına kadar.
Bu modeller, kuruluşlar için önemli üretkenlik ve verimlilik kazanımları açısından muazzam bir potansiyeli temsil ediyor; ancak uzmanlar, bir bütün olarak endüstri için zamanın geldiği konusunda hemfikir doğal güvenlik risklerini ele almak için geliştirilmesi ve yaygınlaştırılmasıyla ortaya çıkar. Aslında, Writerbuddy AI’nin son araştırmasıYapay zeka tabanlı bir içerik yazma aracı sunan ChatGPT’nin halihazırda 14 milyar ziyaret aldığını ve bu sayının arttığını tespit etti.
Yapay zeka tabanlı gizlilik ve güvenlik firması MineOS’un CEO’su Gal Ringel, kuruluşlar yapay zeka konusunda ilerlemeye doğru ilerlerken bunun “titiz etik değerlendirmeler ve risk değerlendirmeleriyle birleştirilmesi gerektiğini” söylüyor.
Yapay Zeka Varoluşsal Bir Tehdit midir?
Yeni nesil yapay zekanın güvenliğine ilişkin endişeler Mart ayında, yaklaşık 34.000 üst düzey teknoloji uzmanının imzaladığı ve diğerlerinden daha güçlü üretken yapay zeka sistemlerinin geliştirilmesinin durdurulması çağrısında bulunan açık bir mektupla birlikte yayılmaya başladı. OpenAI’nin GPT-4’ü. Mektupta, teknolojinin toplum için temsil ettiği “derin riskler” ve “yapay zeka laboratuvarlarının, hiç kimsenin – yaratıcılarının bile – anlayamayacağı, tahmin edemeyeceği veya tahmin edemeyeceği kadar güçlü dijital beyinler geliştirmek ve dağıtmak için yaptığı kontrolden çıkmış yarış”tan bahsediliyordu. güvenilir bir şekilde kontrol edin.”
Bu distopik korkulara rağmen çoğu güvenlik uzmanı, makinelerin insanlardan daha akıllı hale gelip dünyayı ele geçireceği bir kıyamet günü senaryosundan pek endişe duymuyor.
Siber güvenlik firması Netrix’in satış mühendisliği direktörü Matt Wilson, “Açık mektup, AI’nın hızlı ilerlemesi ve potansiyel uygulamaları hakkında geniş anlamda ‘bu insanlık için iyi bir şey mi’ anlamında geçerli endişelere dikkat çekti” diyor. “Belirli senaryolarda etkileyici olsa da, AI araçlarının halka açık sürümleri o kadar da tehditkar görünmüyor.”
Araştırmacılar, endişe verici olanın, yapay zeka alanındaki ilerlemelerin ve benimsenmenin, risklerin düzgün bir şekilde yönetilemeyecek kadar hızlı ilerlemesi olduğunu belirtiyor. Yapay zeka güvenlik sağlayıcısı SlashNext’in CEO’su Patrick Harr, “Pandora’nın kutusunun kapağını kapatamayız” diyor.
Dahası, AI güvenlik firması DarkTrace Federal’in CEO’su Marcus Fowler, yalnızca “uzaydaki inovasyon hızını durdurmaya çalışmanın, bunun ayrı ayrı ele alınması gereken risklerini azaltmaya yardımcı olmayacağını” gözlemliyor. Bunun, yapay zeka gelişiminin kontrol edilmeden devam etmesi gerektiği anlamına gelmediğini söylüyor. Aksine, risk değerlendirmesi ve uygun önlemlerin uygulanma oranı, LLM’lerin eğitilme ve geliştirilme hızıyla eşleşmelidir.
Fowler, “Yapay zeka teknolojisi hızla gelişiyor, bu nedenle yapay zekayı kullanan hükümetler ve kuruluşların da yapay zeka güvenliği konusundaki tartışmaları hızlandırması gerekiyor” diye açıklıyor.
Üretken Yapay Zeka Riskleri
Üretken yapay zekaya yönelik, dikkate alınması gereken ve gelecek nesiller teknoloji daha akıllı hale geldikçe daha da kötüleşecek, yaygın olarak kabul edilen birçok risk vardır. Neyse ki insanlar için bunların hiçbiri şu ana kadar yapay zekanın yaratıcılarını yok etmek için komplo kurduğu bir bilim kurgu kıyamet senaryosu oluşturmuyor.
Bunun yerine, potansiyel olarak iş açısından hassas bilgiler içeren veri sızıntıları gibi çok daha tanıdık tehditleri içerirler; kötü niyetli faaliyetler için kötüye kullanım; ve kullanıcıları yanıltabilecek veya kafalarını karıştırabilecek, sonuçta olumsuz ticari sonuçlara yol açabilecek hatalı çıktılar.
Yüksek Lisans’ların doğru ve bağlamsal olarak anlamlı çıktılar sağlamak için büyük miktarda veriye erişmesi gerektiğinden, hassas bilgiler yanlışlıkla açığa çıkarılabilir veya kötüye kullanılabilir.
“Asıl risk çalışanların onu beslemesidir iş açısından hassas bilgilerle Ringel, ondan bir plan yazmasını veya şirketin özel bilgilerini içeren e-postaları veya iş sunumlarını yeniden yazmasını istediğinde” diye belirtiyor.
Siber saldırı açısından bakıldığında, tehdit aktörleri halihazırda ChatGPT ve diğer yapay zeka sistemlerini silahlandırmanın sayısız yolunu bulmuş durumda. Bunun bir yolu, başarı için tasarlanmış, sosyal olarak tasarlanmış, kişiselleştirilmiş mesajların oluşturulmasını gerektiren karmaşık iş e-postası ihlali (BEC) ve diğer kimlik avı saldırıları oluşturmak için modelleri kullanmak olmuştur.
Harr, “Kötü amaçlı yazılımlarda ChatGPT, siber suçluların kötü amaçlı yazılım tespit motorlarından bir adım önde olmak için sonsuz kod varyasyonları oluşturmasına olanak tanıyor” diyor.
Yapay zeka halüsinasyonları da önemli bir güvenlik tehdidi oluşturuyor ve kötü niyetli aktörlerin ChatGPT gibi LLM tabanlı teknolojileri benzersiz bir şekilde silahlandırmasına olanak tanıyor. Yapay zeka halüsinasyonu, yapay zekanın yetersiz, önyargılı veya kesinlikle doğru olmayan makul bir tepkisidir. Gartner başkan yardımcısı Avivah Litan, “Kurgusal veya diğer istenmeyen yanıtlar, kuruluşları hatalı karar almaya, süreçlere ve yanıltıcı iletişimlere yönlendirebilir” diye uyarıyor.
Veri güvenliği sağlayıcısı Securiti’nin yapay zekadan sorumlu başkan yardımcısı Michael Rinehart, tehdit aktörlerinin bu halüsinasyonları yüksek lisans eğitimlerini zehirlemek ve “bir soruya yanıt olarak belirli yanlış bilgiler üretmek” için de kullanabileceğini gözlemliyor. “Bu, savunmasız kaynak kodu oluşturmaya ve muhtemelen bir sitenin kullanıcılarını güvenli olmayan eylemlere yönlendirebilen sohbet modellerine kadar genişletilebilir.”
Saldırganlar o kadar ileri gidebilir ki yazılım paketlerinin kötü amaçlı sürümlerini yayınlama bir Yüksek Lisans’ın bir yazılım geliştiricisine, bunun bir soruna yasal bir çözüm olduğuna inanarak önerebileceği. Bu şekilde saldırganlar, tedarik zinciri saldırıları düzenlemek için yapay zekayı daha da silahlandırabilir.
İleriye Giden Yol
Uzmanlar, bu risklerin yönetilmesinin, yapay zeka inovasyonunun sektörün onu kontrol etme yeteneğini aşmasından önce ölçülü ve kolektif eylem gerektireceğini belirtiyor. Ancak yapay zeka sorununun nasıl çözüleceği konusunda da fikirleri var.
Harr “A ile yapay zekaya karşı savaşın“Yapay zekanın tetiklediği riskleri engellemeye yönelik güvenlik çözümleri ve stratejilerdeki ilerlemelerin eşit veya daha yüksek bir hızda gelişmesi gerektiği” stratejisi.
“Siber güvenlik korumasının, yapay zeka teknolojisini kullanarak siber tehditlerle başarılı bir şekilde mücadele etmek için yapay zekadan yararlanması gerekiyor” diye ekliyor. “Karşılaştırıldığında, eski güvenlik teknolojisinin bu saldırılara karşı hiç şansı yok.”
Ancak kuruluşların yapay zekayı benimseme konusunda ölçülü bir yaklaşım da benimsemesi gerekiyor. Yapay zeka tabanlı güvenlik çözümleri Netrix’ten Wilson, çevrelerine daha fazla risk getirmemeleri konusunda uyarıyor.
“Yapay zekanın ne olduğunu, ne olmadığını anlayın” tavsiyesinde bulunuyor. “Yapay zekanın ne yaptığını, çözümlerini nasıl geliştirdiğini ve bunun kuruluşunuz için neden önemli olduğunu açıklamak için yapay zekayı kullandığını iddia eden satıcılara meydan okuyun.”
Securiti’den Rinehart, odaklanmış çözümler dağıtarak ve ardından kuruluşu gereksiz riske maruz bırakmadan hemen önce korkulukları yerleştirerek yapay zekayı bir ortama aşamalı olarak yerleştirmek için iki katmanlı bir yaklaşım sunuyor.
“Öncelikle, belirli kullanım durumlarında değer sağlayacak şekilde uyarlanmış, potansiyel olarak bilgi tabanlarıyla zenginleştirilen uygulamaya özel modelleri benimseyin” diyor. “Sonra… bu modelleri korumak için, onlardan gelen ve onlardan gelen mesajları gizlilik ve güvenlik sorunları açısından inceleyerek bir izleme sistemi uygulayın.”
Uzmanlar ayrıca, riski azaltmak için sonradan akla gelen bir düşünce olarak değil, konuşlandırılmadan önce yapay zeka etrafında güvenlik politikaları ve prosedürleri oluşturulmasını öneriyor. Uyumluluğu denetlemek için özel bir yapay zeka risk görevlisi veya görev gücü bile oluşturabilirler.
Kuruluşun dışında, bir bütün olarak sektörün de yapay zeka etrafında, teknolojiyi geliştiren ve kullanan herkesin benimseyebileceği güvenlik standartları ve uygulamaları oluşturmak için adımlar atması gerekiyor; bu, küresel ölçekte hem kamu hem de özel sektörün kolektif eylemini gerektirecek bir şey. DarkTrace Federal’den Fowler diyor ki.
Alıntı yapıyor Güvenli yapay zeka sistemleri oluşturmaya yönelik yönergeler ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından ortaklaşa yayınlanan yapay zekanın devam eden evrimine eşlik etmesi gereken çaba türlerinin bir örneği.
Securiti’den Rinehart, “Özünde” diyor, “2024 yılı, ortaya çıkan bu üretken yapay zeka çağında kullanıcıları ve verileri korumaya yönelik hem geleneksel güvenliğin hem de son teknoloji yapay zeka tekniklerinin hızlı bir şekilde uyarlanmasına tanık olacak.”