Yazan: David Hoelzer, SANS Enstitüsü Üyesi
ChatGPT’nin ve üretken yapay zekanın yükselişi, görünüşte bir gecede çok çeşitli yeni fırsatların yolunu açtı. Çok sayıda yeteneği otomatikleştirme yeteneği ile araç, kitlelerin dikkatini çekti. Metin yazımını kolaylaştırmak ve karmaşık kodlar oluşturmaktan matematik denklemlerini çözmeye ve film senaryoları oluşturmaya kadar bu yeni yapay zeka araçlarının toplumun her kesiminden insanlara sunabileceği çok şey var.
Ancak ortalık yatıştıkça, bu araçların siber güvenliğin geleceği açısından ne anlama geldiğine dair kaçınılmaz sorular ön plana çıkıyor. Her zaman aktif olan dijital dünyamızda, fırsatçı tehdit aktörlerinin siber saldırıları gerçekleştirmek için yeni teknolojilerden yararlandığı biliniyor. ChatGPT, geçen sonbaharda piyasaya sürülmesinden bu yana radarlarında yer alıyor ve şüphesiz cephaneliklerindeki en yeni araçlar arasında yer alıyor. Kuruluşların bu risklerin farkında olması ve bunları azaltmaya yardımcı olacak protokollere sahip olması önemlidir.
Bilgisayar korsanları üretken yapay zekadan nasıl yararlanabilir?
ChatGPT oyunun kurallarını değiştiren yeteneklere sahip olsa da, aynı zamanda suçluların kirli işlerini yapmak için sistemi kullanmanın, kötüye kullanmanın ve kandırmanın yollarını bulmasını sağlayan tehdit aktörü araç kitlerini de güçlendiriyor. Her gün tespit edilen 450.000 yeni kötü amaçlı yazılım parçası ve günde 3,4 milyar şaşırtıcı kimlik avı e-postasının gelen kutularımıza girmesiyle, bu tür saldırılar o kadar sıradan ve karmaşık hale geldi ki, tespit edilmeleri her zamankinden daha zor. Küresel ajanslar, kişisel verileri saklayan chatbot yaratıcılarına karşı uyarılarda bulundu. Çalışma ve davranış şeklimizdeki herhangi bir değişiklik gibi, siber suçluların hacker araç kitlerini istismar edip genişletmeye çalışmasıyla birlikte güvenlik tehditlerinin de ortaya çıkacağı söylentileri ortaya çıkıyor.
Yapay zeka sohbet robotlarının siber suçlular için en kolay ve en yaygın uygulaması, karmaşık ve ikna edici kimlik avı e-postaları oluşturmak olacaktır. Kimlik avı saldırıları bir önceki yıla göre %61 arttı ve yalnızca hacim ve hız olarak artıyor ve herhangi bir yavaşlama belirtisi yok. Yazım hataları, kimlik avı e-postalarının yaygın bir göstergesidir. Ancak kasıtlı yazım hatalarının kullanılması, e-posta filtrelerinden kaçınmak için yaygın bir hacker taktiğidir. Tehdit aktörleri, sohbet robotlarına bir e-postanın içinde birkaç yazım hatası yapmalarını teşvik ederek kusurlu olmaları talimatını verebilir; bu da kimlik avı kampanyalarının amaçlanan hedeflerine daha yüksek bir oranda ulaşmasını sağlar.
Dahası, bir insan, çok biçimli bir kod parçasına ulaşmak için ChatGPT tarafından hazırlanmış içeriği bir araya getirebilir. Araştırmalar, AI sohbet robotlarının web sayfalarına gömülü metin istemlerinden kolayca etkilendiğini ortaya çıkardı. Buna karşılık, siber suçlular, talimatları bir web sayfasına gizlice yerleştirdikleri ‘dolaylı uyarı enjeksiyonunu’ kullanabilirler. Bir kullanıcı farkında olmadan bir chatbottan bir sayfayı almasını isterse, bu durum yerleştirilen istemi etkinleştirebilir. Araştırmacılar, Bing’in sohbet robotunun bir kullanıcı cihazında açık olan diğer sekmeleri de algılayabildiğini bile buldu; bu, siber suçluların talimatları herhangi bir web sayfası sekmesine yerleştirebileceği ve ardından kurbanları hassas kişisel tanımlayıcı bilgilerini (PII) elde etmek için kolayca yönlendirebileceği anlamına geliyor.
Yeni bir dizi gizlilik endişesi
Üretken yapay zeka teknolojik gelişmeleri önyargı, yanlış bilgi, gizlilik endişeleri, otomatik saldırılar ve kötü niyetli kullanım gibi çeşitli riskleri beraberinde getiriyor. Arama motorları, kendileri tarafından kazınan tüm bilgilerin potansiyel olarak dizine ekleneceği göz önüne alındığında, halihazırda iyi bilinen bir gizlilik riskini temsil etmektedir. Arama motoru şirketlerinin özellikle zarar veren belirli kalıpları fark etmesi ve bunları aktif olarak indekslememesi veya en azından bu bilgilerin kamuya açık olarak aranmasına izin vermemesi nedeniyle bu durum yıllar içinde bir dereceye kadar hafifletilmiştir. Bir örnek sosyal güvenlik numaraları olabilir.
Öte yandan, CommonCrawl veya The Pile gibi internetin büyük, özel olarak seçilmiş parçaları olan üretken yapay zeka araçları, daha az bilinen tehditleri temsil ediyor. Tehdit aktörleri, ChatGPT gibi gelişmiş büyük dil modelleriyle, dikkatli bir anlık mühendislik yoluyla bu internet “anlık görüntüsünü” büyük miktarda sıradan insanın kişisel verileri için potansiyel olarak eleyebilir. Ancak yanıtlar “toplanmış” verilerden ziyade olasılıklara dayalı olarak oluşturulduğundan, özellikle sosyal güvenlik numaraları veya telefon numaraları gibi şeyler için tüm bulguların doğru olma olasılığı çok daha düşük.
ChatGPT’nin gerçek zamanlı olarak öğrenmediğini, yalnızca eğitim verilerine ve yanıtlarını puanlayan insanlar tarafından gerçekleştirilen takviye ayarlamalarına dayanarak tahminlerde bulunduğunu hatırlamak da önemlidir. Şu anda fidye yazılımı saldırılarını otomatikleştirmeye yönlendirilemiyor. Neyin mümkün olduğunu dünyaya göstermek, insanların onu nasıl kullandığını görmek ve potansiyel ticari kullanımlarını keşfetmek için oluşturulmuş bir araştırma aracıdır. Popüler varsayımların aksine, yapay zeka sohbet robotlarını her kullandığımızda dolaylı olarak eğitmiyoruz.
İyilik için bir güç
ChatGPT, kötü aktörlere yardım ettiği kadar siber savunuculara da yardımcı olabilir. Tehdit avcıları ve güvenlik ekipleri, üretken yapay zeka araçlarının günlük operasyonlarda nasıl ölçeklendirilebileceğini anlamak için aktif olarak çalışmalıdır. Örneğin, kimlik avı yoluyla yapılan siber saldırıları önleyerek, genellikle şirket içi çalışanlar tarafından kullanılan dili tanımlamaya yönelik araçları harekete geçirerek ve dolayısıyla dış tehdit aktörleri tarafından kullanılan dilden herhangi bir sapmayı tespit ederek iyilik için bir güç olarak kullanılabilir.
Üretken yapay zekanın geleceğe getirebileceği olanaklar heyecan verici ve dönüştürücüdür. Ancak beraberinde gelen tehditleri de gözden kaçırmamak önemlidir. Çevrimiçi işleri yapma biçimimizdeki herhangi bir geçiş gibi, AI sohbet robotları da onları kullanan siber suçlular için birçok yeni olasılık sunuyor. Ortaya çıkan belirli tehditlere ilişkin farkındalığı artırmak, saldırılardan kaçınmak için kritik öneme sahiptir.
Reklam