Hacker One Kurucu Ortağı Michiel, GAI’nin Fırsatları ve Risklerinden Bahsediyor
Michiel Prins, HackerOne’ın Kurucu Ortağı •
24 Temmuz 2023
Üretken yapay zeka veya GAI, her gün her tür yazılımda ortaya çıkıyor. Snapchat, Instacart, CrowdStrike, Salesforce ve diğerleri dahil olmak üzere birçok işletme, yapay zeka destekli özellikleri ve kullanıcı deneyimlerini duyurdu. Yazılım müşterileri yakında GAI özelliklerini bekleyecek. Örneğin, kullanıcılar başka bir sorgu dili bulmak yerine doğrudan raporlarıyla ve panolarıyla konuşmayı bekleyecektir.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Üretken yapay zeka güvenlik için ne anlama geliyor? İki ana tahminim var.
Herhangi bir yeni teknolojide olduğu gibi, çoğu insan için, özellikle de iyimserler için ortaya çıkabilecek riskleri takdir etmek zordur ve işte burada bilgisayar korsanları devreye girer.
Saldırgan Yapay Zeka, Savunmacı Yapay Zekayı Geçecek
Kısa vadede ve muhtemelen süresiz olarak, saldırgan veya kötü niyetli AI uygulamalarının, daha güçlü güvenlik için AI kullanan savunmacı uygulamaları geride bıraktığını göreceğiz. GAI, savunma amaçlı kullanım durumlarını ilerletmek için muazzam fırsatlar sunarken, siber suç çeteleri ve kötü niyetli saldırganlar, silahlarını asimetrik olarak savunma çabalarına yükselterek eşitsiz bir eşleşmeye neden olur.
GAI’nin ticarileştirilmesinin, siteler arası komut dosyası çalıştırmanın ve diğer mevcut yaygın güvenlik açıklarının sonu anlamına gelmesi oldukça olasıdır. XSS veya SQL enjeksiyonu gibi en yaygın 10 güvenlik açığından bazıları, statik uygulama güvenlik testi, web tarayıcısı korumaları ve güvenli geliştirme çerçevelerindeki sektör ilerlemelerine rağmen hala çok yaygın. GAI, bu alanda hepimizin görmek istediği değişimi nihayet sunma fırsatına sahip.
Üretken yapay zekadaki ilerlemeler bazı güvenlik açığı türlerini ortadan kaldırabilirken, diğerlerinin etkinliği patlayacak. GAI giriş engelini azalttıkça, derin sahtekarlıklar ve kimlik avı yoluyla yapılan sosyal mühendislik gibi saldırılar her zamankinden daha inandırıcı ve verimli hale gelecek.
Belirsizlik yoluyla güvenlik stratejisi de GAI’nin ilerlemesiyle imkansız olacaktır. HackerOne araştırması, güvenlik uzmanlarının %64’ünün kuruluşlarının gizlilik yoluyla bir güvenlik kültürü sürdürdüğünü iddia ettiğini gösteriyor. GAI’nin muazzam veri kümelerini eleme ve gerçekten önemli olanı damıtma konusundaki sihirli gibi görünen yeteneği, açık kaynak zekası ve bilgisayar korsanı keşifindeki ilerlemelerle birleştiğinde, belirsizliğin yol açtığı güvenliği geçersiz kılacaktır.
Saldırı Yüzeyleri Katlanarak Büyüyecek
Yeni saldırı yüzeylerinde çok büyük bir patlama göreceğiz. Savunmacılar, Microsoft tarafından ortaya atılan bir terim olan saldırı yüzeyini azaltma ilkesini uzun süredir takip ediyor, ancak üretken yapay zekanın hızla metalaşması, ilerlememizin bir kısmını tersine çevirecek.
Kod her yıl katlanarak artıyor ve artık genellikle üretken yapay zekanın yardımıyla yazılıyor. Bu, kimin yazılım mühendisi olabileceği konusundaki çıtayı önemli ölçüde düşürür ve güvenlik etkilerini denetlemek bir yana, geliştirdikleri yazılımın teknik sonuçlarını tam olarak anlamayan kişiler tarafından giderek daha fazla kodun gönderilmesine neden olur.
Ayrıca GAI, çok miktarda veri gerektirir. İnsan zekası seviyeleriyle bizi etkilemeye devam eden modellerin piyasadaki en büyük modeller olması şaşırtıcı değil. GAI’nin her yerde bulunabileceği bir gelecekte, kuruluşlar ve ticari işletmeler, şu anda mümkün olduğunu düşündüğümüzden çok daha fazla veri biriktirecekler. Bu nedenle, veri ihlallerinin boyutu ve etkisi kontrolden çıkacaktır. Saldırganlar, verileri ele geçirmek için her zamankinden daha fazla motive olacak.
Saldırı yüzeyi büyümesi burada bitmiyor. Birçok işletme, geçtiğimiz aylarda üretken yapay zeka tarafından desteklenen özellikleri ve yetenekleri hızla uygulamaya koydu. Sonuç olarak, GAI destekli uygulamalara yönelik yeni saldırılar yeni bir tehdit olarak ortaya çıkacaktır. Bu alanda gelecek vaat eden bir proje, Büyük Dil Modelleri LLM’leri için OWASP İlk 10’dur.
Üretken Yapay Zekanın Hakim Olduğu Bir Gelecekte Savunma Neye benziyor?
Artan risk potansiyeline rağmen umut var. Etik korsanlar, üretken yapay zeka tarafından desteklenen uygulamaları ve iş yüklerini korumaya hazırdır. Herhangi bir yeni teknolojide olduğu gibi, çoğu insan için, özellikle de iyimserler için ortaya çıkabilecek riskleri takdir etmek zordur – ve işte burada bilgisayar korsanları devreye girer.
Üretken yapay zekanın gerçekten her yerde mevcut olduğu çok da uzak olmayan bir gelecek için HackerOne’ın savunmanızı hazırlamanıza yardımcı olabileceği üç somut yol vardır:
- HackerOne Ödülü: Dünyanın en büyük bilgisayar korsanı topluluğuyla yapılan sürekli rakip test, zayıf GAI uygulamasından kaynaklanan potansiyel kusurlar da dahil olmak üzere saldırı yüzeyinizdeki her türlü güvenlik açığını belirleyecektir.
- HackerOne Mücadelesi: Bu, seçilmiş bir grup uzman bilgisayar korsanı ile davranış kapsamlı ve zamana bağlı rakip testi içerir.
- HackerOne Güvenlik Danışmanlık Hizmetleri: Üretken yapay zekayı saldırı yüzeyinize getirerek tehdit modelinizin nasıl gelişeceğini anlamak için güvenlik danışma ekibimizle birlikte çalışın ve HackerOne programlarınızın bu açıkları yakalamak için tüm silindirlerini çalıştırdığından emin olun.