AI bir bükülme noktasına ulaştı. Yıllarca yüzeyin altında oyalandı, birçok teknoloji ve yeniliğe faydalı oldu, ancak mühendisler ve bilgisayar bilimcileri tarafından kontrol edildi. Makine güdümlü araçlar, yapay zekanın en sıkıcı, tekrarlayan görevleri halletmesine izin vererek siber güvenlik sistemlerini geliştirdi.
Ardından, OpenAI’nin ChatGPT’si ve diğer sohbet botları ile üretken yapay zeka geldi.
Artık AI, hem iyi hem de kötü niyetli herkes tarafından kullanılabilir. AI teknolojisini araştıran ve üreten Google DeepMind’in CISO’su Vijay Bolina’ya göre, AI dil modellerinin benimsenmesi heyecan verici bir ilerleme olsa da, teknolojinin sınırlamalarını da vurguladı.
Bolina, Nisan ayında San Francisco’da düzenlenen RSA Konferansı 2023’te bir izleyiciye, dağıtımsal önyargı ve AI halüsinasyonları gibi şeyler görüyoruz, dedi. Bu, kuruluşları yapay zekanın etik standartlarıyla uzlaşmaya zorlayacak ve sorumlu veya güvenilir bir yapay zekanın olmaması yeni güvenlik riskleri yaratıyor.
Kuruluşlar, üretken yapay zekayı çevreleyen etik ve teknolojinin müşteri etkileşiminden ticari operasyonlara ve siber güvenliğe kadar her şeyi nasıl etkileyeceği hakkında daha fazla şey öğrendikçe, genel etkinin bugün ve gelecekte ne olacağı konusunda hala çok fazla belirsizlik var.
Etik ve güvenliğin birleştirilmesi
Yapay zeka kasıtlı veya kazara yanlış bilgi paylaştığında bunun otomatik olarak bir güvenlik sorunu olduğuna dair bir yanlış kanı var. Ama durum böyle değil.
Bias Buccaneers’ın kurucu ortağı Rumman Chowdhury, RSA’da bir dinleyici kitlesine, etik ve güvenlik aynı şey değildir, dedi.
Chowdhury, “Çok belirgin bir ayrım var: Siber güvenliğin çoğu kötü niyetli aktörleri düşünür, ancak sorumsuz yapay zekanın çoğu, istenmeyen sonuçlar ve istemeden kötü şeyler uygulamak etrafında kuruludur” dedi.
Dezenformasyon buna iyi bir örnektir. Kötü aktörler, kötü niyetli bir deepfake ve bir güvenlik sorunu yaratacaktır, ancak insanlar bilgiye inandıkları için bunları paylaşıyorsa, artık bir etik sorununa girmişsinizdir.
Chowdhury, “Her iki sorunu da ele almalısınız” dedi. Bir etik yaklaşımı, bir şeyin nasıl kullanıldığına ilişkin bağlama odaklanacaktır, ancak güvenlik yaklaşımı, herhangi bir olası sorunu işaretlemeyi amaçlamaktadır.
AI kırmızı takımlar
Kuruluşlar, ağ altyapısındaki zayıf noktaları bulmaya yardımcı olmak için düzenli olarak kırmızı ve mavi takımlar kullanır. Kırmızı takımlar atağa geçer ve saldırı simülasyonu yaparken, mavi takımın görevi örgütün varlıklarını bu saldırılara karşı korumaktır.
Microsoft, Facebook ve Google gibi kuruluşlar artık yapay zeka kırmızı ekipleri kullanıyor ve siber güvenlik analistleri yapay zeka sistemlerindeki güvenlik açıklarını araştırmak için yapay zeka kırmızı ekiplerine yöneldikçe bu eğilim popülerlik kazanıyor. Bolina, büyük hesaplama modelleriyle veya birden fazla uygulamaya erişimi olan genel amaçlı AI sistemleriyle çalışan herkes için yararlı olduklarını söyledi.
Bolina, “Sahip olduğumuz bazı emniyet ve güvenlik kontrollerine, düşmanca bir zihniyet kullanarak meydan okumanın önemli bir yolu,” dedi.
Kırmızı ekipler, yapay zekadaki güvenlik açıklarının nasıl görüneceğini anlamak için birlikte çalışmak üzere siber güvenlik ve makine öğrenimi geçmişinin bir karışımına sahip olmalıdır. Bir AI kırmızı ekibi oluşturmanın sorunu, yetenekli AI siber güvenlik uzmanlarının olmamasıdır.
Yine de, Microsoft Security Business’ın kurumsal başkan yardımcısı ve RSA’da konuşmacı olan Vasu Jakkal’a göre yapay zeka – veya daha özel olarak makine öğrenimi – yetenek eksikliğini çözmeye yardımcı olabilir.
Üretken yapay zeka, aksi takdirde bunalmış hissedebilecek yeni güvenlik profesyonelleri için bir müttefik olabilir. Üretken yapay zeka, daha deneyimli güvenlik analistleri için tekrarlayan görevlerin otomasyonu yoluyla becerilerini geliştirmeleri için zaman sunar. Deneyimlerini ve uzmanlıklarını AI aracına entegre edebilirler ve esasen bu becerileri eksik olan biriyle paylaşabilirler.
Jakkal, “Yeni başlayan bir 1. seviye SOC analistinin, güvenlik operasyon merkezi analistinin, soruşturma veya tersine mühendislik veya tehdit avcılığı hakkında başka herhangi bir yardım almadan öğrenmelerine yardımcı olacak yapay zekaya sahip olduğunu ve sadece araçla öğrendiğini hayal edin.” söz konusu.
Yapay zekanın güvenliğe zarar verebileceği yerler
Üretken yapay zekanın tehlikelerinden biri, bilginin kaynağını bilmektir. Şu anda yürürlükte olan çok az koruma var; Yapay zeka halüsinasyonları, teknoloji yanlış bilgi sağladığında gerçek güvenlik riskleri yaratabilir.
Chowdhury’ye göre üretken yapay zeka bazen neyi paylaşmayacağına dikkat ediyor veya tam bir yanıt üretmek için yeterli bilgiye sahip değil ve bu genellikle yanıtlarında önyargıya neden oluyor.
Güvenlik ekiplerinin, yalnızca doğru bilgileri sağlamak için değil, aynı zamanda hassas veya düzenlenmiş verileri ifşa etmemek için de büyük dil modellerinin nasıl eğitildiğini dikkate alması gerekir.
Elbette mükemmel güvenlik modelleri yoktur, bu nedenle yapay zeka güvenliği gelecek düşünülerek oluşturulmalıdır. Kaçınılmaz olarak bugün yapay zekaya öğretilenler gelecekte yanlış olacaktır. Kuruluşlar dil ve teknolojideki değişimlere hazır değilse, bu durum güvenlik riskleri oluşturabilir.
AI her zaman öğreniyor. Jakkal, güvenlik oyununu kesinlikle değiştirme, dengeyi savunucuların lehine çevirme gücüne sahip ve bunu yapacak.