Brett Raybould, EMEA Çözüm Mimarı, Menlo Security
Kasım ayının sonunda piyasaya sürüldüğünden bu yana 100 milyon kadar kullanıcının yapay zeka sohbet robotu ChatGPT ile etkileşim kurduğu tahmin ediliyor. OpenAI tarafından geliştirilen ChatGPT, bir dizi görevi son derece sofistike ve insan benzeri bir şekilde tamamlama becerisiyle şaşırttı.
O zamandan beri, diğerleri yapay zeka çoğunluğuna atladı. Microsoft, Bing arama motorunun OpenAI’nin arama için özel olarak özelleştirilmiş en son büyük dil modelinin bir sürümünden yararlanan yeni bir sürümünü piyasaya sürdüğünü duyurdu; platform, önemli öğrenmelerini ve ilerlemelerini ChatGPT’den alıyor. Google ayrıca, doğrudan rakip olarak konumlandırılan deneysel bir konuşma AI hizmeti olan Bard’ı tanıtacağını söyledi.
Başlıkları göz ardı etmek zordur, ancak bu son derece gelişmiş büyük dil modellerine yönelik tüm geri bildirimler olumlu olmamıştır. Birçok kişi için, ChatGPT’nin olumlu amaçlar için olduğu kadar olumsuz amaçlar için de kolayca kullanılabileceği endişesi var.
Pennsylvania Üniversitesi işletme okulu Wharton’dan bir profesör, ChatGPT kullanarak bir MBA sınavına girdi. Üniversite, testi geçmekle kalmayıp etkileyici bir B/B- puanı aldığını gördü. ChatGPT’nin bir konuda yalnızca birkaç saniye içinde gelişmiş bir makale yazabilmesi sayesinde, platform öğrenciler tarafından kolayca kopya çekmek için kullanılabilir. Bu, AI sonrası dünyanın belki de ne kadar farklı olacağının bir işareti mi?
Siber güvenlik, büyüyen bir başka endişeyi de beraberinde getiriyor. Blackberry, BT uzmanlarının %71’inin, yabancı devletlerin ChatGPT’yi zaten ulus devlet saldırıları gibi kötü amaçlarla kullanıyor olabileceğine inandığını bildiriyor. CyberArk, ChatGPT kullanarak nasıl polimorfik kötü amaçlı yazılım oluşturabildiğine dair bulgular da yayınladı. Check Point Research, siber suçluların bunu hedef odaklı kimlik avı e-postaları oluşturmak ve suç forumlarında bilgi çalan kötü amaçlı yazılım kodunu paylaşmak için kullandığını öne sürüyor.
ChatGPT’ye, kötü niyetli aktörler tarafından güvenlik duvarları, güvenli web ağ geçitleri ve kimlik avı tespit araçları gibi birçok geleneksel kurumsal güvenlik çözümünü atlayabilen bir saldırı sınıfı olan Yüksek Derecede Kaçınmalı Uyarlanabilir Tehdit (HEAT) saldırıları geliştirmek için kötüye kullanılıp kullanılamayacağını sormaya karar verdik.
İlk yanıt şuydu: “ChatGTP’nin veya başka bir dil modelinin kötü amaçlı yazılım oluşturmak için kötüye kullanılması mümkün mü? Kötü niyetli bir kişinin modele erişimi varsa ve onu kötü amaçlı yazılım örnekleri konusunda eğitirse, kötü amaçlı kod üretebilir veya kimlik avı kampanyaları veya diğer kötü amaçlı etkinlikler oluşturmak için kullanılabilir mi? Bu anlamda, ChatGTP tarafından oluşturulan kötü amaçlı yazılım, yapay zeka tarafından oluşturulan kötü amaçlı yazılım karmaşık, uyarlanabilir ve tespit edilmesi zor olabileceğinden HEAT tehdidi olarak kabul edilebilir.”
Yani, ilk cevap evetti, HEAT saldırıları oluşturmak için kullanılabilir. Bununla birlikte, aynı yanıtta chatbot, yapay zeka dil modellerini kullanarak kötü amaçlı yazılım oluşturmanın modellerin kendilerine özgü bir yeteneği olmadığını, daha çok kötü niyetli kullanımın sonucu olduğunu açıkladı.
Daha sonra benzer sorular sorduk ve ChatGPT’nin bir HEAT tehdidi oluşturmadığı sonucuna vardık. Bir yanıt şöyle dedi: “Bir tehdit aktörünün ChatGPT’yi yanıltıcı veya yanlış bilgi üretmek gibi kötü amaçlarla kötüye kullanması mümkün olsa da, kendi başına kötü amaçlı yazılım üretemez.”
ChatGPT siber suçları demokratikleştirebilir mi?
OpenAI, ChatGPT’nin her zaman doğru olmadığını ve bu nedenle yanıtlarına gerçek olarak güvenilmemesi gerektiğini yinelemeye hevesli. Ancak hem botun ilk tepkisi hem de Blackberry, CyberArk ve Check Point Research tarafından yürütülen araştırmalar, endişe edilecek bir durum olabileceğini düşündürüyor.
Bildiğimiz şey, ChatGPT’nin makine öğrenimine odaklandığı, bu nedenle ne kadar çok girdi alırsa o kadar karmaşık ve doğru hale geleceği.
Endişe, ChatGPT’nin siber suçları demokratikleştirmek için kullanılabileceğidir. Bununla, sınırlı veya hiç teknik beceriye sahip olmayan sözde tehdit aktörlerinin, ChatGPT platformunu veya benzer araçları kullanarak güvenilir sosyal mühendislik veya kimlik avı e-postaları yazmayı ve hatta kaçamak amaçlı kötü amaçlı yazılımları kodlamayı öğrenebileceğini kastediyoruz.
Demokratikleşmiş siber suçun yol açabileceği feci zararları şimdiden deneyimledik. Gerçekten de, son yıllarda fidye yazılımı saldırılarının hacminin bu kadar dramatik bir şekilde artmasının başlıca nedeni, hızla gelişen bir hizmet olarak fidye yazılımı endüstrisidir.
Bu nedenle, bu botların getirebileceği potansiyel siber tehditler göz önüne alındığında, kuruluşların kendilerini HEAT saldırılarına karşı uygun şekilde korumaları her zamankinden daha önemli. Kuruluşların, yapay zeka tarafından oluşturulan potansiyel tehditler de dahil olmak üzere, son derece kaçamak tehditlerle mücadele etmenin etkili bir yolu olarak izolasyon teknolojisini güvenlik stratejilerine dahil etmelerini öneririz.
Bu, tüm etkin içeriğin, kullanıcıların aygıtları yerine yalıtılmış, bulut tabanlı bir tarayıcıda yürütülmesini sağlar. Bunu yaparken, kötü amaçlı yüklerin hedef uç noktalarına ulaşmasını engelleyerek saldırıların ilk aşamada gerçekleşmesini engeller.
Son derece kaçamak uyarlanabilir tehditler zaten artıyor. Tehdit aktörlerinin saldırıları koordine etmede dil modellerinin yeteneklerinden yararlanma potansiyeli göz önüne alındığında, şirketlerin bir öncelik olarak güvenlik stratejilerini geliştirmeleri gerekecektir.
yazar hakkında
Brett, güvenlik konusunda tutkulu ve en kritik varlıklarını korumak isteyen kuruluşlara çözümler sunuyor. Web ve e-posta üzerinden gelen tehditlerin algılanması ve veri kaybının önlenmesi konusunda uzmanlaşmış çeşitli 1. kademe satıcı firmalar için 15 yılı aşkın bir süredir çalışan Brett, 2016 yılında Menlo Security’ye katıldı ve izolasyonun, algılama sorunlarının çözümünde yeni bir yaklaşım sağladığını keşfetti. tabanlı sistemlerle mücadeleye devam etmektedir.