Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Ajansın Tasarım ve Geliştirmeyi En Baştan Güvenlikle Hizalamaya Yönelik Kampanyasının Bir Parçası
Rashmi Ramesh (rashmiramesh_) •
21 Ağustos 2023
ABD federal hükümeti, yapay zeka geliştiricilerinin güvenliği temel bir gereklilik olarak benimsemelerini savunuyor ve makine öğrenimi kodunun dağıtımdan sonra düzeltilmesinin özellikle zor ve pahalı olduğu konusunda uyarıda bulunuyor. Cuma günü Siber Güvenlik ve Altyapı Güvenliği Ajansı blog gönderisi, CISA’nın tasarım ve geliştirme programlarını baştan itibaren güvenlikle uyumlu hale getirmeye yönelik devam eden kampanyasının bir parçası olarak yapay zekanın tasarım gereği güvenli olmasını istedi (bkz:: CISA, Diğerleri Güvenli Yazılım Üretimi Kılavuzunu Açıkladı).
Ajans, “Yapay zeka tartışmaları genellikle bir yapay zeka sisteminin nasıl çalıştığına ilişkin gizemcilikle doludur. Gerçek çok daha basit: Yapay zeka bir tür yazılım sistemidir. Ve herhangi bir yazılım sistemi gibi, yapay zeka da tasarım gereği güvenli olmalıdır.”
Ayrıca bakınız: Başarılı ML Benimsemesinin Önündeki Engelleri Aşmak
Dünyanın dört bir yanındaki güvenlik uzmanları, şirketleri, güvenliği sonradan eklemektense içinde pişirilen yazılımlar ve ürünler geliştirmeye yıllardır zorluyor. CISA Direktörü Jen Easterly, Şubat ayında yaptığı bir konuşmada, güvenliği, maliyetleri tüketiciler tarafından karşılanan bir dışsallık olarak ele alma çağının, yazılım geliştiricilerin sorumluluklarında bir kayma da dahil olmak üzere, yeni güvenlik taahhüdü ile değiştirilmesi gerektiğini söyledi.
CISA’nın Cuma günkü blog gönderisi yasa tekliflerini tartışmıyor, ancak makine öğreniminin birbirine sıkı sıkıya bağlı doğasına dikkat çeken önceki araştırmaları vurguluyor. Google araştırmacılarının 2014 tarihli bir makalesine göre, “teknik borcun yüksek faizli kredi kartı” gibi çözülmemiş sorunları sıralayan bir girdiyi değiştirmek her şeyi değiştirir.
Blog yazısı, AI için tasarım gereği güvenlik sağlamanın, onu diğer yazılım türleri için sağlamaktan farklı olabileceğini kabul etti. “Yine de AI yazılımı için geçerli olan” temel, sektörden bağımsız güvenlik uygulamalarının bir listesini içerir. CISA, yapay zekaya özgü olmasa bile yönergelerin uygulanmasının özellikle önemli olduğunu çünkü tehdit aktörlerinin yapay zeka dışı yazılım öğelerinin bilinen güvenlik açıklarını kullanarak yapay zeka sistemlerini istismar ettiğini söyledi.
AI yazılım tasarımı, geliştirme, dağıtım ve test etme; veri yönetimi; sistem entegrasyonu; Ajans, güvenlik açığı ve olay yönetiminin “topluluğun beklediği mevcut güvenlik uygulamalarını ve politikalarını” uygulaması gerektiğini söyledi.
CISA, AI model dosya biçimlerini işleyen sistemlerin güvenilmeyen kod yürütme girişimlerine karşı koruma sağlaması ve ayrıca bellek açısından güvenli diller kullanması gerektiğini söyledi. Yapay zeka mühendisliği topluluğu ayrıca CVE’ler gibi güvenlik açığı tanımlayıcılarını uygulamalı, yapay zeka modelleri ve bağımlılıkları için bir yazılım malzeme listesi yakalamalı ve varsayılan olarak temel gizlilik ilkelerini izlemelidir.