Siber Güvenlikte Tehlike Çanları: Yapay Zeka Beceri ile Yeteneği Ayırıyor Windows

Siber Güvenlikte Tehlike Çanları: Yapay Zeka Beceri ile Yeteneği Ayırıyor

Five Eyes ülkeleri, yapay zekanın otonom siber saldırı yeteneğine karşı uyarıyor. Ancak asıl sorun, AI'nın beceri ve yetenek arasındaki farkı büyütmes

Geçtiğimiz hafta, Five Eyes istihbarat ittifakına üye ülkelerin ulusal güvenlik ajansları ortak bir bildiri yayımladı. Bildiride, yapay zeka modellerinin özellikle otonom siber saldırı yetenekleriyle artan risklerine dikkat çekiliyordu. Ancak bu uyarı, sansasyonel manşetlerin aksine oldukça ölçülüydü ve verilen tavsiyeler, aciliyet vurgusu dışında yıllardır tekrarlanan standart önerilerden ibaretti. Asıl çarpıcı olan, AI teknolojisinin siber güvenlikte yarattığı paradigma değişikliğiydi: beceri ve yetenek arasındaki uçurumun hızla büyümesi.

İnternet riskleri yeni değil; büyük ya da küçük siber saldırılar, mevcut yapay zeka modellerinden çok önce de önemli bir sorundu. Ancak on yıllardır süregelen ve AI ile daha da hızlanan değişim, beceri (skill) ile yetenek (ability) arasındaki bağın kopmasıdır. İnsanlık tarihinin büyük bölümünde bu iki kavram eş anlamlıyken, bilgisayarlar onları birbirinden ayırdı. Artık bu uçurum genişledikçe, AI araçlarıyla donanmış insanlar daha fazlasını yapabiliyor: daha fazla yazı, daha fazla araştırma, daha fazla analiz ve ne yazık ki daha fazla hasar. Bu modeller, ayrıntılı yönlendirmelere ihtiyaç duymadan ağlara sızabiliyor, veri çalabiliyor, fidye yazılımı yerleştirebiliyor ve sistemleri çökertebiliyor. Çözüm ise savunmada da AI'ı kullanmaktan geçiyor.

1998'de L0pht hacker grubundan yedi kişi ABD Kongresi'nde ifade vermişti. Pek de bilgili olmayan Senato komitesine interneti 30 dakikada çökertebileceklerini söylemişlerdi. Bu iddianın bir kısmı gerçek, bir kısmı gösterişti, ancak önemli bir noktayı ortaya koyuyordu: Sistemlere sızmak, veri çalmak ve hasar vermek beceri gerektiriyordu. L0pht hacker'larını, 'script kiddies' denilen ve başkalarının yazdığı araçları kullanan amatörlerle karşılaştırın. Script kiddies bilgisayarlardan ya da güvenlikten anlamaz; sadece hazır araçları kullanırlardı. Eylemleri asgari beceri ve daha da az bilgi gerektiriyordu. Ancak bu hack araçları yaygınlaştıkça potansiyel saldırgan sayısı da arttı.

Bu sayı, önceden yazılmış saldırı araçlarının kalitesi ve bulunabilirliği arttıkça yükselmeye devam etti. Şimdi ise AI ile katlanarak büyüyor. Günümüzdeki yapay zeka sistemleri -sadece uç modeller değil, çoğu- siber saldırıları otomatik olarak gerçekleştirebiliyor. Yetenekli saldırganların elinde daha etkili olsalar da, giderek daha az yönlendirmeyle otonom hareket edebiliyorlar. Becerisi olmayan ama yeteneği olan insanlar genellikle dışarıdadır; hiçbir profesyonel topluluğun parçası değildirler ve hiçbir kural ya da norma bağlı değildirler. Bu olgu siber güvenlikten çok daha geneldir. Her doktor size iz bırakmadan nasıl zehirleyeceğinizi anlatabilir; birçok virüs araştırmacısı biyolojik silah yapmayı bilir; herhangi bir köprü mühendisi bir köprüyü patlatmak için patlayıcıları nereye yerleştirmeniz gerektiğini söyleyebilir. Katil doktorların ya da terörist mühendislerin nadir olmasının nedeni, bu becerileri edinme sürecinin aynı zamanda ahlaki ve etik bir kod aşılamasıdır. Her rastgele kişinin iyi zehirleme tavsiyelerine erişimi varsa, bu hepimizi tehlikeye atar.

Modern AI sistemleri, aslında insanlara zararlı şeyler yapmaları için evrensel bir danışman işlevi görüyor. Mevcut AI devleri, kullanıcıların zarar vermesine yol açacak soruları engellemek için korkuluklar inşa etmeye çalışıyor; ancak bu uzun vadede işe yaramayacak. Daha küçük, daha ucuz, açık kaynak modeller -hatta insanların kendi bilgisayarlarında çalıştırabilecekleri- ve özellikle birbirleriyle uyum içinde çalışan modeller, OpenAI ve Anthropic gibi şirketlerin uç modelleri kadar iyi. Ve giderek daha iyi hale geliyorlar. Bu modeller, script kiddie araçları gibi elden ele dolaşacak ve hiçbir korkuluğa sahip olmayacak. AI modellerine insanları gözetleme ve kötü niyetli istemleri yetkililere bildirme talimatı vermek de benzer nedenlerle başarısız oluyor. Büyük şirketler bunu yapabilir, ancak yerel olarak çalışan açık kaynak modeller yapamaz. Bu bize en fazla birkaç ay kazandırabilir.

Önemli Gelişmeler

Üçüncü bir olasılık, modellerin bilgisayarlara sızma, biyolojik silah yaratma veya topluma zarar verecek başka şeyler yapma yeteneğini ortadan kaldırmaktır. Bu da işe yaramaz, çünkü doktorlara zehirlenme tedavisini öğretirken aynı zamanda zehirlemeyi de öğretmek zorundayız. Aynı bilgidir. İnşaat ve yıkımda da aynıdır. Siber güvenlikte de aynı. AI modellerinin bilgisayar kodunu incelemesini, güvenlik açıklarını bulmasını ve otomatik olarak düzeltmesini istiyoruz. Kolektif güvenliğimize faydası muazzam olacak. Ne yazık ki aynı bilgi saldırılar için de kullanılabilir. Bizi bekleyen, artan değişkenlikle dolu bir dünya. AI asistanlarıyla süper güçlenmiş insanlar hem harika hem de korkunç şeyler yapabilecek.

Five Eyes bildirisine dönersek, önerdikleri her şey güvenlik profesyonellerinin yıllardır -hatta on yıllardır- tavsiye ettiği şeyler. Bunlar, 1998'deki 'Zayıf bilgisayar güvenliği: Halk risk altında mı?' başlıklı kongre oturumunda da konuşulmuştu. Five Eyes bile güvenlik tavsiyelerinin yeni olmadığını, sadece daha acil olduğunu kabul ediyor. Yeni olan, her şeyin ne kadar hızlı değiştiği: 'Öncü AI gelişiminin hızlı temposu, siber risk varsayımlarının yıllar içinde değil, aylar içinde geçerliliğini yitirebileceği anlamına geliyor. Değişen tehditlere uyum sağlamak ve onlara dayanmak için şimdi harekete geçmeliyiz.' Five Eyes, AI teknolojisinin -mutlaka sohbet robotları değil, daha genel olarak AI- savunmanın her yönünü güçlendirmek için kullanılması gerektiğine işaret ediyor: 'Güvenlik açıklarını daha erken tespit etmek, yazılım kalitesini artırmak, anormal davranışları izlemek ve olaylara daha hızlı yanıt vermek - böylece olayların maliyetini ve etkisini azaltmak.'

Teknik Analiz

Five Eyes güvenlik ajanslarının bu mükemmel tavsiyesi, AI'nın yalnızca siber güvenlik değil, artırdığı her risk için uygulanmalı. Beceri ve yetenek arasındaki uçurum büyüdükçe, savunma stratejilerimizi de aynı hızla güncellemeliyiz. Aksi takdirde, hem bireysel hem de kurumsal düzeyde siber saldırılara karşı hazırlıksız yakalanmamız an meselesi.

Kaynak: schneier.com

Paylaş: