Üretken yapay zeka ve büyük dil modellerinin (LLM’ler) güvenlik sektörünü alt üst etme potansiyeli konusunda çok fazla araştırma yapıldı. Öte yandan olumlu etkinin göz ardı edilmeside zordur. Bu yeni araçlar, kod yazmaya ve taramaya yardımcı olabilir, yetersiz personele sahip ekiplere destek verebilir, tehditleri gerçek zamanlı olarak analiz edebilir ve güvenlik ekiplerinin daha doğru, verimli ve üretken olmasına yardımcı olacak çok çeşitli diğer işlevleri gerçekleştirebilir. Zamanla bu araçlar, günümüzün güvenlik analistlerinin korktuğu sıradan ve tekrarlanan görevleri de üstlenebilir ve onlara, insanın dikkatini ve karar verme sürecini gerektiren daha ilgi çekici ve etkili işler için zaman kazandırabilir.
Öte yandan, üretken yapay zeka ve LLM henüz başlangıç aşamasında; bu da kuruluşların hâlâ bunları sorumlu bir şekilde nasıl kullanacakları konusunda uğraştıkları anlamına geliyor. Üstelik üretken yapay zekanın potansiyelini fark eden yalnızca güvenlik uzmanları değil. Güvenlik uzmanları için iyi olan, genellikle saldırganlar için de iyidir ve günümüzün hackerları, üretken yapay zekayı kendi kötü amaçları için kullanmanın yollarını araştırıyor. Hiç düşündünüz mü bize yardım ettiğini düşündüğümüz bir şey bize zarar vermeye başlarsa ne olur? Sonunda teknolojinin tehdit potansiyelinin kaynak potansiyelini gölgede bıraktığı bir kırılma noktasına ulaşacak mıyız?
Üretken yapay zekanın yeteneklerini ve bunun sorumlu bir şekilde nasıl kullanılacağını anlamak, teknoloji hem daha gelişmiş hem de daha yaygın hale geldikçe kritik önem taşıyacak.
Üretken AI ve LLM’leri kullanma
ChatGPT gibi üretken yapay zeka modellerinin programlama ve kodlamaya yaklaşım şeklimizi temelden değiştirebileceğini söylemek abartı olmaz. Doğru, tamamen sıfırdan kod oluşturma yeteneğine sahip değiller (en azından henüz). Ancak bir uygulama veya program için bir fikriniz varsa, gen yapay zekanın bunu gerçekleştirmenize yardımcı olma ihtimali yüksektir. Böyle bir kodu ilk taslak olarak düşünmek faydalı olacaktır. Mükemmel olmayabilir ama yararlı bir başlangıç noktasıdır ve mevcut kodu düzenlemek, sıfırdan oluşturmaktan çok daha kolaydır (daha hızlı olduğundan bahsetmiyorum bile). Bu temel düzeydeki görevleri yetenekli bir yapay zekaya devretmek, mühendislerin ve geliştiricilerin deneyimlerine ve uzmanlıklarına daha uygun görevlerle meşgul olmakta özgür olmaları anlamına gelir.
Bununla birlikte, gen AI ve LLM’ler, ister açık internetten ister eğitim aldıkları belirli veri kümelerinden gelsin, mevcut içeriğe dayalı olarak çıktı oluşturur. Bu, daha önce gelenleri yineleme konusunda iyi oldukları anlamına geliyor ve bu da saldırganlar için bir nimet olabilir. Örneğin, yapay zeka aynı kelime kümesini kullanarak içeriğin yinelemelerini oluşturabildiği gibi, halihazırda var olan bir şeye benzeyen, ancak tespit edilmekten kaçacak kadar farklı olan kötü amaçlı kod da oluşturabilir. Bu teknolojiyle saldırganlar, bilinen saldırı yöntemleri etrafında oluşturulan güvenlik savunmalarını atlatmak için tasarlanmış benzersiz veriler veya saldırılar üretebilecekler.
Saldırganların bunu zaten yapmasının bir yolu, güvenliği ihlal edilmiş sunucularda kalıcılığı korumak için kullanılan kötü amaçlı kod olan web kabuğu varyantlarını geliştirmek için yapay zekayı kullanmaktır. Saldırganlar mevcut web kabuğunu üretken bir yapay zeka aracına girebilir ve kötü amaçlı kodun yinelemelerini oluşturmasını isteyebilir. Bu değişkenler daha sonra, genellikle uzaktan kod yürütme güvenlik açığı (RCE) ile birlikte, güvenliği ihlal edilmiş bir sunucuda tespitten kaçınmak için kullanılabilir.
LLM’ler ve Yapay Zeka daha fazla zero day güvenlik açıklarını istismar etmek için kullanıyor
İyi finanse edilen saldırganlar, istismarları tespit etmek için kaynak kodunu okuma ve tarama konusunda da iyidir, ancak bu süreç yoğun zaman alır ve yüksek düzeyde beceri gerektirir. LLM’ler ve üretken yapay zeka araçları, bu tür saldırganların ve hatta daha az yetenekli olanların, yaygın olarak kullanılan açık kaynaklı projelerin kaynak kodunu analiz ederek veya ticari kullanıma hazır yazılımlara tersine mühendislik yaparak karmaşık istismarları keşfetmesine ve gerçekleştirmesine yardımcı olabilir.
Çoğu durumda saldırganların bu süreci otomatikleştirmek için yazılmış araçları veya eklentileri vardır. Ayrıca, bu tür kötü niyetli davranışları önlemek için aynı koruma mekanizmalarına sahip olmadıkları ve genellikle kullanımları ücretsiz olduğundan, açık kaynaklı LLM’leri kullanma olasılıkları daha yüksektir. Sonuç olarak, saldırganların savunmasız kuruluşlardan veri sızdırmasına olanak tanıyan MOVEit ve Log4Shell güvenlik açıklarına benzer şekilde, sıfırıncı gün saldırılarının ve diğer tehlikeli istismarların sayısında bir patlama olacak.
Ne yazık ki, ortalama bir kuruluşun kod tabanlarında zaten onlarca, hatta yüzbinlerce çözülmemiş güvenlik açığı bulunuyor. Programcılar yapay zeka tarafından oluşturulan kodları güvenlik açıklarına karşı taramadan kullanıma sundukça, kötü kodlama uygulamaları nedeniyle yakın zamanda bu sayının arttığını göreceğiz. Doğal olarak ulus devlet saldırganları ve diğer ileri düzey gruplar avantajdan yararlanmaya hazır olacak ve üretken yapay zeka araçları onların bunu yapmasını kolaylaştıracak.
Dikkatli bir şekilde ilerlemek
Bu sorunun kolay bir çözümü yok ancak kuruluşların bu yeni araçları güvenli ve sorumlu bir şekilde kullandıklarından emin olmak için atabilecekleri adımlar var. Bunu yapmanın bir yolu, tam olarak saldırganların yaptığını yapmaktır: Kuruluşlar, kod tabanlarındaki potansiyel güvenlik açıklarını taramak için yapay zeka araçlarını kullanarak, kodlarının potansiyel olarak istismara yönelik yönlerini tespit edebilir ve saldırganlar saldırmadan önce bunları düzeltebilir. Bu kontroller, kod oluşturmaya yardımcı olmak için genel yapay zeka araçlarını ve LLM’leri kullanmak isteyen kuruluşlar için özellikle önemlidir. Bir yapay zeka mevcut bir depodan açık kaynak kodu alıyorsa, bilinen güvenlik açıklarını beraberinde getirmediğini doğrulamak kritik öneme sahiptir.
Günümüzün güvenlik uzmanlarının üretken yapay zeka ve LLM kullanımı ve yaygınlaşmasıyla ilgili endişeleri son derece gerçektir; bu gerçek, yakın zamanda algılanan toplumsal risk nedeniyle bir “yapay zeka duraklaması” çağrısında bulunan bir grup teknoloji lideri tarafından da vurgulanmıştır . Bu araçlar, mühendisleri ve geliştiricileri önemli ölçüde daha üretken hale getirme potansiyeline sahip olsa da, günümüz kuruluşlarının bunların kullanımına dikkatli bir şekilde yaklaşması ve yapay zekayı metaforik tasmasından kurtarmadan önce gerekli önlemleri alması hayati önem taşıyor.
