3. Taraf Risk Yönetimi, Yapay Zeka Tabanlı Saldırılar, Yapay Zeka ve Makine Öğrenimi
Teknoloji Devi, Yapay Zeka Kullanan Firmalar İçin Büyük Tehditleri ve Potansiyel Korumaları Paylaşıyor
Rashmi Ramesh (raşmiramesh_) •
4 Mart 2024
Yapay zeka teknolojilerinin hızla yükselişi yeni riskleri de beraberinde getiriyor. Microsoft, AI kullanan kuruluşların düzenli olarak hızlı enjeksiyon saldırılarına karşı tarama yapması, tedarik zincirinde şeffaflık uygulaması ve şirketlerinin güvenlik ihtiyaçlarını karşılamak için yerleşik yazılım kontrollerini güçlendirmesi gerektiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Ev ve ofis yazılım ürünlerine üretken yapay zeka araçlarını dahil eden teknoloji devi, yakın tarihli bir raporunda işletmelere belirli kullanım senaryolarını ve çalışanların erişim kontrollerini tanımlayarak yapay zeka tehditlerine karşı planlama yapmalarını tavsiye etti.
Şirket, koşullu erişim politikalarının kullanılmasının kiracıları risk sinyallerine, lisanslamaya ve kullanıma göre otomatik olarak koruyacağını söyledi. Raporda, “Risk liderleri ve CISO'lar, kullanım örneklerinin ve politikaların yeterli olup olmadığını veya hedefler ve öğrenmeler geliştikçe bunların değişmesi gerekip gerekmediğini düzenli olarak belirlemelidir” diyor.
Microsoft, yapay zekanın, tehdit tespiti ve olay müdahalesi alanlarında kuruluşların siber saldırılara karşı daha hızlı ve daha etkili bir şekilde savunma yapmasına yardımcı olabileceğini ve potansiyel olarak büyük siber güvenlik yetenek eksikliğinin giderilmesine yardımcı olabileceğini söyledi. Düşmanlar teknolojiyi istismarlarının bir parçası olarak kullanıyor. Raporda “Yapay zekayı güvenli bir şekilde tasarlamak, dağıtmak ve kullanmak bizim için hiç bu kadar kritik olmamıştı” diyor.
Dolandırıcılıktaki yapay zeka, yapay zekanın ikili doğasının bir örneğidir. Bilgisayar korsanları, bir modeli herhangi biri gibi ses çıkaracak şekilde eğitmek için üç saniyelik bir ses örneği kullanarak dolandırıcılık yapmak için bu teknolojiyi kullanabilir. Microsoft, “Sesli mesaj selamlamanız kadar zararsız bir şey bile yeterli örnekleme elde etmek için kullanılabilir” dedi ve bunun kimlik doğrulama için bir tehdit oluşturduğunu da sözlerine ekledi.
Şirket, “Kötü niyetli aktörlerin yapay zekayı uzun süredir devam eden kimlik doğrulama sistemlerini baltalamak için nasıl kullandığını anlamamız çok önemli, böylece karmaşık dolandırıcılık vakalarıyla ve kimlikleri gizleyen diğer ortaya çıkan sosyal mühendislik tehditleriyle mücadele edebiliriz” dedi.
Büyük dil modellerinin kötü amaçlı girdilere ve uç durumlara ilişkin anlayışlarını düzenli olarak güncellemek için ince ayar yapmak, büyük dil modellerinde en önemli OWASP kritik güvenlik açıkları arasında listelenen hızlı enjeksiyon saldırılarının önlenmesine yardımcı olabilir. Şirketler ayrıca potansiyel tehditleri analiz etmek için anlık manipülasyonları önlemek ve çalışanların LLM'lerle olan etkileşimlerini günlüğe kaydetmek için bağlama duyarlı filtreleme ve çıktı kodlamayı kullanmalıdır.
Yapay zekayı kullanan şirketler, üçüncü taraf tedarikçilerinkiler de dahil olmak üzere LLM'lerin veri temas noktalarını değerlendirmelidir; öğrenmeleri keşfetmek için işlevler arası siber risk ekipleri kurmak; ve boşlukları kapatın. Bu, kuruluş için hangi belirlenmiş yapay zeka araçlarının ve erişim ve bilgi için iletişim noktalarının onaylandığı da dahil olmak üzere, yapay zeka kullanımlarını ve risklerini ayrıntılandıran politikaların oluşturulmasını içerir.
Kuzey Kore, Çin ve Rusya'dan önde gelen kalıcı tehdit grupları siber operasyonları artırmak için Yüksek Lisans'ları kullanıyor ancak Microsoft ve OpenAI henüz herhangi bir önemli saldırıya tanık olmadı (bkz.: OpenAI ve Microsoft, Devlet Destekli Hacker Hesaplarını Sonlandırıyor).