Menlo Güvenlik raporu: Yapay zekanın benimsenmesiyle siber güvenlik riskleri artıyor

Yeni araştırma Menlo Güvenliği Üretken yapay zekanın patlayıcı büyümesinin işletmeler için nasıl yeni siber güvenlik zorlukları yarattığını ortaya koyuyor. ChatGPT gibi araçlar günlük iş akışlarına yerleştikçe işletmelerin güvenlik stratejilerini acilen yeniden değerlendirmesi gerekiyor.

“Çalışanlar yapay zekayı günlük işlerine entegre ediyor. Kontroller bunu sadece engelleyemez, aynı zamanda çılgına dönmesine de izin veremeyiz,” dedi Menlo Security Ürün Pazarlamadan Sorumlu Başkan Yardımcısı Andrew Harding, VentureBeat ile yaptığı özel bir röportajda. “Kurumdaki üretken yapay zeka saha ziyaretlerinde ve ileri düzey kullanıcılarda tutarlı bir büyüme oldu, ancak güvenlik ve BT ekipleri için zorluklar devam ediyor. Yapay zeka araçlarına kontroller uygulayan ve CISO’ların bu riski yönetmelerine yardımcı olurken bir yandan da GenAI’nin üretebileceği üretkenlik kazanımlarını ve öngörüleri destekleyen araçlara ihtiyacımız var.”

Yapay zeka kullanımında ve kötüye kullanımında artış

Menlo Güvenlik’ten yeni rapor ilgili bir tablo çiziyor. İşletmelerdeki üretken yapay zeka sitelerine yapılan ziyaretler yalnızca son 6 ayda %100’ün üzerinde bir artış gösterdi. Sık üretken yapay zeka kullanıcılarının sayısı da aynı dönemde %64 arttı. Ancak günlük iş akışlarına bu yaygın entegrasyon, tehlikeli yeni güvenlik açıklarının ortaya çıkmasına neden oldu.

Araştırmacılara göre pek çok kuruluş, üretken yapay zeka kullanımıyla ilgili daha fazla güvenlik politikasını övgüyle karşılarken, çoğu, etki alanı bazında etkisiz bir yaklaşım kullanıyor. Harding’in VentureBeat’e söylediği gibi, “Kuruluşlar güvenlik önlemlerini artırıyor ancak bir sorun var. Çoğu, bu politikaları yalnızca alan adı bazında uyguluyor ve bu da artık işe yaramıyor.”

Bu parça parça taktik, yeni üretken yapay zeka platformlarının sürekli ortaya çıkmasıyla birlikte buna ayak uyduramıyor. Rapor, üretken yapay zeka sitelerine dosya yükleme girişimlerinin 6 ay içinde %80 gibi endişe verici bir artış gösterdiğini ortaya koydu; bu, eklenen işlevlerin doğrudan bir sonucu. Riskler, yüklemeler nedeniyle oluşabilecek potansiyel veri kaybının çok ötesine geçiyor.

Araştırmacılar, üretken yapay zekanın kimlik avı dolandırıcılıklarını da ciddi şekilde artırabileceği konusunda uyarıyor. Harding’in belirttiği gibi, “Yapay zeka destekli kimlik avı, daha akıllı bir kimlik avıdır. Kuruluşların, OpenAI ‘kimlik avının’ her şeyden önce bir sorun olmasını önleyecek gerçek zamanlı kimlik avı korumasına ihtiyacı var.”

Yenilikten ihtiyaca

Peki buraya nasıl geldik? Üretken yapay zeka, ChatGPT çılgınlığının dünyayı kasıp kavurmasıyla bir gecede patlamış gibi görünüyor. Ancak teknoloji aslında yıllar süren araştırmalar sonucunda yavaş yavaş ortaya çıktı.

OpenAI, ilk üretken yapay zeka sistemini başlattı GPT-1 (Jeneratif Önceden Eğitimli Transformatör) Haziran 2018’de. Bu ve diğer ilk sistemler sınırlıydı ancak potansiyeli gösterdi. Nisan 2022’de Google Brain bunu temel alarak şunu geliştirdi: Avuç içi — 540 milyar parametreye sahip bir yapay zeka modeli.

OpenAI ne zaman DALL-E’yi tanıttı 2021’in başlarında görüntü oluşturmak için üretken yapay zeka, halkın yaygın ilgisini çekti. Ama bu OpenAI’ninkiydi ChatGPT’nin ilk çıkışı Kasım 2022’de bu gerçekten çılgınlığı ateşledi.

Kullanıcılar neredeyse anında ChatGPT ve benzeri araçları günlük iş akışlarına entegre etmeye başladı. İnsanlar, mükemmel e-postanın hazırlanmasından hata ayıklama koduna kadar her şey için botu gelişigüzel sorguladılar. Yapay zekanın neredeyse her şeyi yapabileceği ortaya çıktı.

Ancak işletmeler için bu çok hızlı entegrasyon büyük riskler ortaya çıkardı abartılı reklamlarda sıklıkla gözden kaçırılıyor. Üretken yapay zeka sistemleri, doğası gereği yalnızca onları eğitmek için kullanılan veriler kadar güvenli, etik ve doğrudur. Farkında olmadan önyargıları ortaya çıkarabilir, yanlış bilgi paylaşabilir ve hassas verileri aktarabilirler.

Bu modeller, eğitim verilerini halka açık internetin geniş alanlarından çekiyor. Titiz bir izleme olmadığında, hangi içeriğin beslendiği üzerinde sınırlı bir kontrol olur. Dolayısıyla, özel bilgiler çevrimiçi ortamda yayınlanırsa modeller bu verileri kolayca emebilir ve daha sonra ifşa edebilir.

Araştırmacılar ayrıca üretken yapay zekanın kimlik avı dolandırıcılıklarını da ciddi şekilde artırabileceği konusunda uyarıyor. Harding’in VentureBeat’e söylediği gibi, “Yapay zeka destekli kimlik avı, daha akıllı bir kimlik avıdır. Kuruluşların, OpenAI ‘kimlik avının’ her şeyden önce bir sorun olmasını önleyecek gerçek zamanlı kimlik avı korumasına ihtiyacı var.”

Dengeleme eylemi

Peki güvenlik ve inovasyonu dengelemek için ne yapılabilir? Uzmanlar çok katmanlı bir yaklaşımı savunuyorlar. Harding’in önerdiği gibi buna “üretken yapay zeka platformlarında kopyalama ve yapıştırma sınırları, güvenlik politikaları, oturum izleme ve grup düzeyinde kontroller” dahildir.

Geçmiş önsözü kanıtlıyor. Kuruluşların önceki teknolojik dönüm noktalarından ders alması gerekir. Bulut, mobil ve web gibi yaygın olarak kullanılan teknolojiler doğası gereği yeni riskleri beraberinde getirdi. Şirketler, zaman içinde gelişen teknoloji paradigmalarına uyum sağlamak için güvenlik stratejilerini aşamalı olarak uyarladılar.

Üretken yapay zeka için aynı ölçülü, proaktif yaklaşım gereklidir. Harekete geçme penceresi hızla kapanıyor. Harding’in uyardığı gibi, “Kurumdaki üretken yapay zeka saha ziyaretlerinde ve ileri düzey kullanıcılarda tutarlı bir büyüme oldu, ancak güvenlik ve BT ekipleri için zorluklar devam ediyor.”

Güvenlik stratejilerinin, üretken yapay zekanın kuruluşlar genelinde benzeri görülmemiş bir şekilde benimsenmesine uyum sağlayacak şekilde hızlı bir şekilde gelişmesi gerekiyor. İşletmeler için güvenlik ve yenilik arasındaki dengeyi bulmak zorunludur. Aksi takdirde üretken yapay zeka tehlikeli bir şekilde kontrolden çıkma riskiyle karşı karşıya kalır.