Pieter Adieux Kurucu Ortak ve CEO, Secure Code Warrior
Üretken yapay zeka (GAI) teknolojisinin olanakları, özellikle otomasyon, üretkenlik ve iş geliştirme konularında hem geliştiricilerin hem de geliştirici olmayanların gözlerini heyecanla açtı. Onu bu kadar ilgi çekici kılan şey, açıkça abartıdan daha fazlası olmasıdır: Geliştiriciler GAI için gerçek kullanım örnekleri buluyor ve bu da onun çok geçmeden çoğu rolde günlük bir araç haline gelme ihtimalinin sinyalini veriyor.
Bununla birlikte, bazı geliştiricilere GAI araçlarını test etmeleri için verilen serbestlik, birçok güvenlik sürecinin gözden kaçırılmasına neden oldu; bu da zayıf, güvensiz kodlama kalıplarına yol açtı ve yeni tehditlere kapı açtı. Bu, GAI’nin yaratabileceği diğer potansiyel güvenlik sorunlarının başında gelir.
En öne çıkan GAI uygulaması ChatGPT, güvenlik açısından zorlu bir ilk yıl geçirdi. OpenAI, piyasaya sürülmesinden yalnızca birkaç ay sonra, açık kaynaklı bir kitaplıktaki bir hata nedeniyle ChatGPT’yi çevrimdışına aldığını ve potansiyel olarak ödemeyle ilgili bilgilerin açığa çıktığını açıkladı. Purdue Üniversitesi yakın zamanda ChatGPT’nin programlama sorularına %50 oranında sürekli olarak yanlış yanıtlar verdiğini tespit etti. Université du Québec’teki bir ekip, ChatGPT tarafından oluşturulan programların neredeyse dörtte birinin güvensiz olduğunu keşfetti.
Durumun gerçeği şu ki, GAI araçları hızlı olmasına rağmen bizimle aynı hataları yapıyor; ancak bir bilgisayar tarafından oluşturulduğu için biz de ona çok fazla güvenme eğilimindeyiz, tıpkı bir lise öğrencisinin yazmak için Vikipedi’ye çok fazla güvenebilmesi gibi. onların tarih yazısı. Ancak sonuçları F notu almaktan çok daha büyük olabilir.
GAI kaçınılmaz olarak geliştiricilerin günlük çalışma biçiminin bir parçası haline gelecektir, ancak teknoloji geliştikçe bile geliştiricilerin güvenlik becerilerini geliştirecek ve kod kalitesini koruyacak konumda olmaları gerekir.
Güvenliği en baştan ekibinize dahil edin
GAI tarafından oluşturulan güvenli kodun eksikliği, siber vasıflı çalışanların uzun vadeli önemini pekiştirdi. GAI ile çalışan, güvenli kodlamanın en iyi uygulamaları konusunda uzmanlığa sahip geliştiriciler, kaliteyi en yüksek standartta tutarken geniş ölçekte kod geliştirebilecek. Kendi araştırmamız, şu anda geliştiricilerin yalnızca %14’ünün güvenliğe odaklandığını, ancak GAI kod oluşturma rolünü üstlendiğinde hem kaliteyi hem de güvenliği sağlamanın güvenlik konusunda becerikli geliştiricilere ait olacağını ortaya çıkardı.
Sonuçta, daha güvenli kodlama kalıpları ve uygulamaları sağlamak için güvenlik bilincine sahip bir ekip gerekecektir. Québec Üniversitesi’nde ChatGPT tarafından oluşturulan güvenli olmayan kodu inceleyen araştırmacılar, chatbot’un güvenli kod sunabildiğini, ancak bunun ancak bir uzmanın güvenlik açıklarını tespit edip doğru düzeltmeleri yapması için devreye girmesinden sonra gerçekleştirdiğini buldu.
Kuruluşların ön adım atması ve geliştiricilerin teknolojiyi nasıl kullanması gerektiği konusunda daha net rehberlik ve eğitim uygulamaları gerekiyor. Bu öncelikli güvenlik yaklaşımı, geliştirme sürecini hızlandırmak için GAI kullanımının ötesinde kuruluş genelinde daha güvenli bir kültürün uygulanması yönünde ek bir fayda sağlayacaktır.
Güvenli araştırma ve test önemlidir
GAI’ye genel bir yasak getirilmesi cazip gelebilir ancak doğru çözüm değildir. BlackBerry tarafından yapılan bir anket, BT karar alıcılarının %66’sının bu teknolojiyi çalışanların cihazlarında tamamen yasaklamayı düşündüğünü ortaya çıkardı; ancak bu yaklaşım, yapay zekanın yeraltında (diğer adıyla “gölge yapay zeka”) kullanımını yönlendirebilir ve GAI’nin neden olduğu sorunları hafifletme yeteneğini sınırlayabilir.
Bu araçlar modern geliştiricilerin çalışma şeklinin bir parçası olacak, dolayısıyla onlara aşina olmamız zorunludur. İnsan hatası, geliştirici ekiplerinin neredeyse her gün uğraştığı bir sorun olduğu gibi, yapay zeka hatasının da azaltılması gerekecektir (sonuçta, bu LLM’ler insan tarafından oluşturulan bilgiler kullanılarak eğitilmektedir).
İşletmeler, hangi araçların en kullanışlı olduğunu güvenli bir şekilde yönetmeyi ve belirlemeyi öğrenerek, bunun bu teknolojiyle ilgilenmeyi reddedenlere göre çok daha fazla değer kattığını göreceklerdir. Geliştiriciler, güvenli öğrenme ortamları oluşturarak GAI’nin faydalarını tespit edebilecek bir konumda olacak, ancak aynı zamanda kuruluşu ortaya çıkan tehditlerden ve güvenlik açıklarından en iyi şekilde nasıl koruyacakları konusunda daha iyi bir anlayış kazanacaklar.
En iyi uygulamalar için bir davranış kuralları oluşturun
Gartner yakın zamanda GAI’nin 2023’te kurumsal BT liderlerini endişelendiren en büyük risklerden biri olduğunu duyurdu. Teknolojiyi kullanan geliştiricilerin sayısı arttıkça, BT liderlerinin proaktif olmaları ve yapay zekayı işlerine entegre etmek için en iyi uygulamaları ve yönergeleri oluşturmaya başlamaları gerekiyor.
Kabine Ofisi kısa bir süre önce tüm devlet memurlarına GAI’nin kullanımına ilişkin bir kılavuz yayınladı; bu kılavuz, hiçbir zaman gizli bilgilerin girilmemesinin yanı sıra, GAI araçlarından elde edilen herhangi bir çıktının önyargıya ve yanlış bilgiye duyarlı olduğunun ve bunların uygun şekilde kontrol edilmesi ve alıntılanması gerektiğinin farkında olunmasını da içeriyordu. İzlenecek örnek olarak Hükümet’e bakabiliriz ancak her kuruluşun kendi riskini uygun şekilde yönetmesi kendi sorumluluğundadır.
GAI olgunlaşıyor ve tıpkı e-posta ve bulut depolama gibi standart BT araçlarımızın bir parçası olması bekleniyor. Ancak bu noktaya gelmeden önce geliştiricilerin GAI’yi test etmek ve kullanmak için sağlıklı ve güvenli ortamlar yaratarak kullanma şekli konusunda katı olmamız gerekiyor.
Araştırmalar, GAI’nin uygunsuz kullanımının kendi başına ve güvenlik uzmanlarının gözetimi olmadan ciddi sonuçlara yol açabileceğini göstermiştir. Ancak geliştiricilerin becerilerini geliştirerek ve kalite ve güvenliği sağlarken bu yeni araçları kullanabileceklerini göstererek öne çıkmaları için gerçek bir fırsat var.
Yapay Zeka Kodunu Dağıtma: Güvenlik Gözlükleri Gerekli yazısı ilk olarak Cybersecurity Insider’larda yayınlandı.