Uzmanlara göre bu aynı zamanda bir endişe kaynağı
Anthropic’in bir sonraki modeli siber güvenlik açısından bir “dönüm noktası” olabilir. Ancak uzmanlar bunun aynı zamanda endişe verici olduğunu söylüyor.
Yapay zekâ destekli siber saldırıların bir sonraki dalgası, daha önce gördüklerimize hiç benzemeyecek.
Bu, yapay zekâ şirketi Anthropic’in geçen hafta sızdırılan bir blog yazısında verdiği mesajdı.
Şirket, “Mythos” adlı yaklaşan yapay zekâ modelinin ve benzerlerinin, güvenlik açıklarını eşi görülmemiş bir hızla istismar edebileceği konusunda uyardı.
Bu konuda yalnız değil: OpenAI, Aralık ayında yaklaşan modellerinin “yüksek” siber güvenlik riski taşıdığını belirtmişti.
Uzmanlar zaten yapay zekânın mevcut tehlikeleri büyütebildiğini ve yeni yazılım açıklarını hızla üretebildiğini söylüyordu.
Ancak bazı uzmanlara göre, görevleri otonom şekilde yerine getirebilen yapay zekâ ajanlarının yükselişi bu riski bambaşka bir seviyeye taşıyor.
Tek bir yapay zekâ ajanı, yüzlerce insan hacker’dan daha hızlı ve daha ısrarcı şekilde güvenlik açıklarını tarayıp bunlardan faydalanabilir.
Siber güvenlik ve ağ şirketi Cato Networks’in kurucusu ve CEO’su Shlomo Kramer, “Ajan tabanlı saldırganlar geliyor” dedi. “Bu, siber güvenlik tarihinde bir dönüm noktasıdır.”
“Mythos” sızıntısı
Mythos hakkında detaylar, ilk olarak Fortune tarafından haberleştirilen yayımlanmamış bir blog yazısında ortaya çıktı.
Anthropic, Fortune’a, sızıntının içerik yönetim sistemindeki bir insan hatasından kaynaklandığını söyledi.
Taslak metinde Anthropic, “Mythos şu anda siber yetenekler açısından diğer tüm yapay zekâ modellerinin oldukça ilerisinde olsa da, savunma çabalarını çok aşan şekillerde güvenlik açıklarını istismar edebilen modeller dalgasının habercisidir” ifadelerini kullandı.
Şirket, yaklaşan “yapay zekâ destekli saldırı dalgasına” karşı sistemlerini güçlendirmeleri için bazı kuruluşlara modeli önceden test etme imkânı tanıyor.
Ayrıca Anthropic’in, Mythos’un mümkün kılabileceği büyük ölçekli siber saldırılar konusunda hükümet yetkililerini özel olarak uyardığı, Axios tarafından aktarıldı.
Kramer’a göre her laboratuvarın bir sonraki modeli giderek daha ciddi siber güvenlik tehditleri oluşturacak:
“Mythos’un ardından bir sonraki OpenAI modeli ve Google Gemini geliyor; onların birkaç ay arkasından ise açık kaynaklı Çin modelleri.”
Siber güvenlik şirketi Armadin’in saldırı güvenliği sorumlusu Evan Peña, yapay zekânın güvenlik açıklarının neredeyse keşfedildiği anda istismar edilmesini mümkün kıldığını söyledi.
Ancak Peña’ya göre bu modellerin hâlâ sınırları var: Gelişmiş yapay zekâ sistemleri yazılım açıklarını araştırma ve bunları kullanacak kodları geliştirmede başarılı olsa da, hangi bilginin en değerli hedef olduğunu belirleme konusunda insan hacker’ların sahip olduğu bağlamdan yoksun.
Twenty şirketinin kurucu ortağı ve CEO’su Joe Lin, yapay zekâ destekli saldırılarda insanlara her zaman yer olacağını belirtti:
“Kararların ve sonuçların kontrolünün insanlarda kaldığı sistemler kurduğumuzdan emin olmalıyız; çünkü uygulamayı makine yapsa da sonuçların sorumluluğu insana aittir.”
Yapay zekâ destekli saldırılar artıyor
Yapay zekânın nispeten düşük becerili hacker’ları nasıl daha tehlikeli hale getirdiğine bir örnek Ocak ayında yaşandı.
Bir siber suçlu, birden fazla yapay zekâ aracını kullanarak 55’ten fazla ülkede popüler bir güvenlik duvarı yazılımını kullanan 600’den fazla cihazı hackledi.
Bu bilgi, Amazon Web Services’in güvenlik araştırma ekibi tarafından paylaşıldı.
AWS’ye göre saldırgan, sınırlı teknik kapasitesine rağmen üretken yapay zekâ hizmetlerini kullanarak bilinen saldırı tekniklerini operasyonlarının her aşamasında uygulayıp ölçeklendirdi.
Tehdit istihbaratı direktörü Eyal Sela’ya göre hacker, saldırıda Anthropic’in Claude modelini ve Çin yapımı DeepSeek’i kullandı.
Bir noktada, Claude’dan yüzlerce hedefi yönetmek için bir web paneli oluşturmasını Rusça olarak istedi.
Sela’ya göre yapay zekâ, farklı beceri seviyelerindeki hacker’lara, sistemleri istismar etmek için gereken teknik bilgiyi basitleştirerek “süper güçler” kazandırıyor.
Şubat ayında ise bir hacker, Bloomberg’in haberine göre Claude’u kullanarak Meksika’daki devlet kurumlarına yönelik bir dizi saldırı gerçekleştirdi ve hassas verileri ele geçirdi.
Lin’e göre Çin ve diğer ABD rakipleri, kendi yapay zekâlarını geliştirmek için her türlü avantajı arıyor.
Bu da ABD yapay zekâ modellerine ait olası sızıntıların, onların siber silah sistemlerini güçlendirmek için kullanılabileceği anlamına geliyor.
Yapay zekâdaki ilerlemeler siber güvenlik açısından iki ucu keskin bir kılıç: Saldırganlar yeteneklerini artırmak için bu sistemleri kullanabilirken, aynı teknolojiler sürekli izleme, daha hızlı tehdit tespiti ve otomatik güvenlik yamalarıyla savunmayı da güçlendirebilir.
Ancak saldırganların sisteme girmek için tek bir açık bulması yeterliyken, savunmacıların tüm yüzeyleri koruması gerekir.
Kramer bunu, “hattı koruyabilmek için ‘iyi adamlar ordusu’ kurarak ‘kötü adamlar ordusuna’ karşı savaşmaya” benzetti.
“Olduğun yerde kalabilmek için olabildiğince hızlı koşman gerekiyor,” dedi.
CNN
Haber Galerisi
