Bir siber güvenlik uzmanı, yapay zekayı yalnızca suçlular tarafından değil, aynı zamanda yasal olarak da hizmet olarak kullanan şirketler için güvenli olmayan bir siber güvenlik tehdidi olduğunu açıkladı.
Yapay zekanın siber güvenlik açıkları
Saldırılar gerçekleştirmek için yapay zekayı kullanan kötü aktörlerin oluşturduğu tehdit geniş çapta tartışılırken, özellikle yapay zeka için siber güvenlik sağlayan Midgard'ın CEO'su ve CTO'su Peter Garraghan, Verdict'e şunları söylüyor: "Aklımdaki sorun, yapay zekaya yönelik bir siber güvenlik tehdididir. konuyla ilgili olan o.
Tahmin edilebileceği gibi yapay zekanın şirketler tarafından en yaygın ve dolayısıyla risk altındaki kullanımı, müşteri hizmeti olarak hizmet veren ve tonu ve verileri genellikle temsil ettikleri kuruluşlara göre özelleştirilmiş sohbet robotlarıyla ilgilidir. Lancaster Üniversitesi'nde yapay zeka güvenliği ve sistemleri konusunda uzmanlaşmış bilgisayar bilimi profesörü Dr. Garraghan, 2022'de Mindgard'ı bulmaya karar verdiği yer burasıdır. "Yapay zeka sihirli değildir" diyor. Bu yalnızca ek kodlama, veri ve donanımın birleşimidir. Günümüzün siber tehditleri göz önüne alındığında, tüm bu tehditler yapay zekada da kendini gösterebilir.
Şöyle düşünelim: Bir saldırganın SQL enjeksiyonu olarak bilinen bir İşlem kullandığını varsayalım. Saldırgan bu süreci, web sitesi oturum açma veya iletişim formu gibi web formu alanlarındaki güvenlik açıklarından yararlanmak için kullanabilir. Teleprompter almanın başka bir yolu da kamuya açık uygulamalarda kullanılan hızlı enjeksiyondur. Her şeyden önce, eğer güvenlik yeterince sağlanmazsa, yapay zeka araçları kaynak kodlarını ve talimatlarını, şirket IP'sini veya müşteri verilerini sızdırmaya zorlanabilir. İkinci olarak, yapay zeka araçları, kusurları belirlemek için diğer yazılım uygulamaları gibi tersine mühendislik yapılabilir.
Yapay zeka sistemlerinin güvenliğini sağlama
Garraghan sorunun ciddiyeti hakkında şunları söylüyor: Öngörülen gelecekte, birkaç yıl içinde ulusal güvenlik faktörü ortaya çıkabilir veya haklarından mahrum bırakılan insanlar risk altında olabilir. Yeni bilgiler bir uyarı gibi görünüyor: Bir işletme, açıklanan verilere karşı dikkatli olmalıdır.
Garraghan şunları söylüyor: “Dahası yapay zeka, verileri sızdırabileceği bir siber saldırı aracı olarak da hizmet verebilir; model, nazik bir şekilde talep ettiğiniz verileri sağlayabilecektir.” Ocak ayında bir örnek sunan sağcı sosyal medya platformu Gab, talimatlarını yanlışlıkla ifşa eden öğreticileri aradı. GPT tabanlı platform OpenAI'nin modelleri daha önce de kötüye kullanılmıştı.
Garraghan şöyle devam ediyor: “Bilgi, yetkisiz VoIP saldırılarından elde edilebilir. Ayrıca yapay zekaya tersine mühendislik yapılabilir ve sistem bypass edilebilir veya kandırılarak diğer sistemlere açık erişim sağlanabilir. Bu nedenle, bilgi sızıntısı, dışarıdan veya içeriden karşı karşıya olanlar da dahil olmak üzere, tüm endüstrileri ilgilendiren ana alanlardan biri olabilir." Ayrıca, modelin yanlış yönlendirilmesi veya aldatıcı veriler üretilerek kasıtlı olarak modelden kaçınılması gibi modelden kaçınma gibi diğer riskleri de sıralıyor.
Garraghan, ses parçalarına kötü amaçlı komutlar eklemenin veya verileri yanlış tasarlanmış çözümlerle lekelemenin başka bir tehdit olduğuna dikkat çekti. Ayrıca genel siber etkinin, siber saldırılardan sonra yaygın olarak yaşanan itibar kaybı olduğunu belirtiyor. Benzer şekilde, bu tür bir siber saldırının olumsuz sonuçları açısından en büyük risk altında olan alanlar, riskin en yüksek olduğu yerlerdir. Çevrimiçi faaliyet gösteren birçok sektör ve kurum varken, kamu güvenliği ve gizli bilgilerin sızdırılmaması, örneğin finansal hizmetler ve sağlık sektörlerinin öncelik vermesi gereken önemli değerlerdir.
Garraghan şöyle diyor: Buradaki bağlantı şu: Sektörünüzde ne kadar yapılandırılmış ve kontrol sahibi olursanız ve yapay zekadan kaynaklanan riskler de o kadar fazla olur (ve aynı zamanda deneyimlerden de anlaşılacağı üzere: yapay zekayı ne kadar az kullanırsanız, o kadar az benimsersiniz), yapay zekanız o kadar kötü olur. Belki de tembel olanlar onlar değildir. Örneğin hayatlarının en vahim evrelerinden geçiyor olabilirler.
Proaktif yapay zeka güvenlik önlemleri
Yapay zeka herhangi bir şirkette bu risklerle ilgilenecek ancak kullanıcıların korunması için güvenlik katmanları gerektireceğini (çünkü iş dünyasındaki yapay zekanın zaten bunlara ihtiyacı olduğunu) söylüyor. Garraghan, "Farklı sektörlerde uzmanlaşmış siber güvenlik araçlarınız zaten var" diyor. “Bunlar güvenlik duruşu yönetim araçları, tespit, müdahale araçları, güvenlik duvarları ve kod tarama gibi sola kaydırma tasarımı desteği olabilir. Yakında dijital dönüşüme uygun olarak yapay zekaya ihtiyacınız olacak.” Tür yalnızca yapay zeka ve makine öğrenimi alanında uzmanlaşırken sinir ağları gibi sistemlerden yalnızca ara sıra bahsedilir
Uygulamalar arasında daha iyi kontrol için sinir ağları için bir uygulama tarayıcısına, her tür sinir ağı için bir yanıt sistemine, güvenlik testlerine ve kırmızı ekip oluşturmaya ihtiyacınız olacak ve her tür sinir ağı için bir yanıt sistemine ihtiyacınız olacak. Çalışma zamanı sorunları yerine bunları erkenden düzeltmek ve düzeltmek daha kolaydır. Ancak yapay zeka modellerini veya satın alınan yapay zeka uygulamalarını ve hizmetlerini kullanan kuruluşlara önerdiğimiz en iyi uygulama, üretime geçmeden önce modellerdeki tüm sorunların çözülmesinin daha kolay olmasıdır. Daha sonra üretime geçtikten sonra yalnızca düzeltilmesi gereken sorunlar tespit edilebilir.
Özetle Garraghan'ın görüşü şu şekilde: “Siber güvenlik I ile başlıyorsa en önemli şey, uygulama veya yazılımın bir araç olarak yapay zeka ile değiştirilmesidir. HAYIR? Tehditleri tespit etmek için uygulama güvenliğine ihtiyacınız vardır. Bir araç olarak yapay zeka da buna dahildir.”
