Yapay Zeka Çağında Siber Güvenlik: Beceri ve Yetenek Arasındaki Uçurum Büyüyor Yazılım

Yapay Zeka Çağında Siber Güvenlik: Beceri ve Yetenek Arasındaki Uçurum Büyüyor

Five Eyes ülkeleri, yapay zekanın otonom siber saldırı kabiliyetleri konusunda uyardı. Peki, beceri ve yetenek arasındaki uçurum nasıl kapanacak?

Geçtiğimiz hafta, İngilizce konuşan zengin ülkeler kulübü olarak bilinen Five Eyes istihbarat ittifakı, yapay zeka modellerinin artan siber risklerine dikkat çeken ortak bir bildiri yayınladı. Özellikle AI sistemlerinin ağlara ve sistemlere otonom olarak sızma yeteneğine vurgu yapılan açıklama, bazı abartılı manşetlerin aksine oldukça ölçülüydü. Verilen tavsiyeler, herkesin bildiği standart güvenlik önlemlerinden oluşuyordu; ancak aciliyet duygusu yeniydi. İnternet riskleri yeni bir şey değil ve siber saldırılar, mevcut yapay zeka modellerinden çok önce de büyük bir sorundu. Asıl değişen ve AI ile daha da hızlanan şey, beceri (skill) ile yetenek (ability) arasındaki farkın açılması.

İnsanlık tarihinin büyük bölümünde beceri ve yetenek eş anlamlıydı; ancak bilgisayarlar bu ikiliyi birbirinden ayırdı. Şimdi yapay zeka araçlarıyla donanmış insanlar, daha fazla yazı yazabiliyor, daha fazla araştırma yapabiliyor, daha fazla analiz gerçekleştirebiliyor – ve maalesef daha fazla hasar verebiliyor. Bu modeller, ayrıntılı bir yönlendirme olmaksızın ağlara otonom olarak sızabiliyor, veri çalabiliyor, fidye yazılımı dağıtabiliyor ve sistemleri yok edebiliyor. Çözümün bir parçası da savunma için yapay zekayı kullanmayı içerecek. Peki bu dönüşümün arka planında neler var?

1998'de, L0pht hacker grubundan yedi kişi ABD Kongresi'nde ifade vermişti. Çoğunlukla bilgisiz bir senato komitesine, interneti 30 dakikada çökertebileceklerini söylemişlerdi. Bu kısmen gerçek, kısmen de gösterişti; ancak önemli bir noktaya işaret ediyordu: Sistemlere sızmak, veri çalmak ve hasar vermek beceri gerektiriyordu. L0pht hacker'larını, 'script kiddies' olarak aşağılanan ve bilgisayarları ya da güvenliği anlamayan, sadece başkalarının yazdığı araçları kullanan kişilerle karşılaştırın. Onların eylemleri asgari beceri ve daha da az bilgi gerektiriyordu. Ancak bu hack araçları yaygınlaştıkça potansiyel saldırgan sayısı arttı.

Sistem Güvenliği

Bu sayı, önceden yazılmış saldırı araçlarının kalitesi ve bulunabilirliği arttıkça yükselmeye devam etti. Şimdi ise yapay zeka ile dramatik bir sıçrama yaşanıyor. Günümüzün AI sistemleri – sadece en gelişmiş modeller değil, çoğu – siber saldırıları otomatik olarak gerçekleştirebiliyor. Becerikli saldırganların elinde daha iyi sonuç verseler de, giderek daha az yönlendirmeyle otonom hareket edebiliyorlar. Yetenek sahibi ama beceriden yoksun kişiler genellikle dışarıdan gelen, herhangi bir profesyonel topluluğun parçası olmayan ve hiçbir kural veya normla bağlı olmayan kişilerdir. Bu olgu siber güvenlikten çok daha geneldir. Her doktor, birini iz bırakmadan nasıl zehirleyeceğinizi anlatabilir; birçok virüs araştırmacısı biyolojik silah yapmayı bilir; herhangi bir köprü mühendisi bir köprüyü havaya uçurmak için patlayıcıları nereye yerleştireceğinizi söyleyebilir.

Önemli Gelişmeler

Modern AI sistemleri, insanlara zararlı şeyler yapmaları için evrensel bir danışman işlevi görüyor. Mevcut AI mega şirketleri, zarar vermeyi kolaylaştıracak soruları engellemek için korkuluklar inşa etmeye çalışsa da, bu uzun vadede işe yaramayacak. Daha küçük, daha ucuz, açık kaynak modeller – özellikle kişisel bilgisayarlarda çalışabilenler ve birbirleriyle uyum içinde çalışan modeller – OpenAI ve Anthropic gibi şirketlerin en gelişmiş modelleri kadar iyi ve giderek daha da iyi hale geliyor. Bu modeller, korkulukları olmayan script kiddie araçları gibi elden ele dolaşacak. AI modellerine insanları gözetleme ve kötü niyetli komutları yetkililere bildirme talimatı vermek de benzer nedenlerle başarısız oluyor. Mega şirketler bunu yapabilir, ancak yerel olarak çalışan açık kaynak modeller yapmaz. Bu en iyi ihtimalle bize birkaç ay kazandırabilir.

Üçüncü bir olasılık, modellerin bilgisayarlara sızma, biyolojik silah yaratma veya topluma zarar verecek başka eylemler yapma yeteneğini ortadan kaldırmak. Ancak bu da işe yaramayacak, çünkü doktorlara zehirlenmeleri tedavi etmeyi öğretirken aynı zamanda zehirlemeyi de öğretmek zorunda olduğumuz gibi, aynı bilgi hem savunma hem de saldırı için kullanılabiliyor. AI modellerinin bilgisayar kodlarını incelemesini, güvenlik açıklarını bulmasını ve otomatik olarak düzeltmesini istiyoruz – bu kolektif güvenliğimize büyük fayda sağlayacak. Ancak aynı bilgi saldırılar için de kullanılabilir. Bu bizi daha değişken bir dünyaya götürüyor. AI asistanlarıyla süper güçlenmiş insanlar hem harika hem de korkunç şeyler yapabilecek.

Five Eyes bildirisine dönersek, önerdikleri her şey güvenlik profesyonellerinin yıllardır, hatta on yıllardır tavsiye ettiği şeyler. Hatta 1998'deki 'Zayıf Bilgisayar Güvenliği: Halk Risk Altında mı?' başlıklı kongre oturumunda da konuşulmuştu. Five Eyes bile güvenlik tavsiyelerinin yeni olmadığını, sadece daha acil hale geldiğini kabul ediyor. Yeni olan şey, her şeyin ne kadar hızlı değiştiği: 'Öncü AI gelişiminin hızlı temposu, siber risk varsayımlarının yıllar içinde değil, aylar içinde geçerliliğini yitirebileceği anlamına geliyor. Tehditlere uyum sağlamak ve dayanmak için şimdi harekete geçmeliyiz.' Five Eyes, savunmanın her yönünü güçlendirmek için AI teknolojisinin kullanılması gerektiğini belirtiyor: 'Güvenlik açıklarını daha erken tespit etmek, yazılım kalitesini artırmak, olağandışı davranışları izlemek ve olaylara daha hızlı yanıt vermek – böylece olayların maliyetini ve etkisini azaltmak.'

Teknik Analiz

Five Eyes güvenlik kurumlarından mükemmel bir tavsiye. Bunu yapay zekanın artırdığı her risk için uygulamalıyız, sadece siber güvenlik için değil. Beceri ve yetenek arasındaki uçurum genişledikçe, hem saldırı hem de savunma için yeni stratejiler geliştirmek zorundayız. AI'nın otonom yetenekleri karşısında, insan denetimini ve etik kuralları korumak, siber güvenliğin geleceği için kritik önem taşıyor.

Kaynak: schneier.com

Paylaş: