Yapay zeka araçlarının otonom saldırıları genellikle nükleer fırlatma kodlarının çalınması gibi korkutucu senaryolarla anılsa da, gerçekte çok daha basit bir tehlike ortaya çıktı. Güvenlik araştırmacısı Ian Carroll, Nisan ayında Anthropic'in yapay zeka aracı Claude Opus 4.7'yi kullanarak Front Gate Tickets'in web sitesinde bir güvenlik açığı keşfetti. Bu açık sayesinde, Lollapalooza, South by Southwest ve Austin City Limits gibi neredeyse tüm büyük ABD müzik festivallerinin biletleme sistemine süper yönetici erişimi elde etti.
Carroll, Front Gate Tickets'in sistemine sızarak milyonlarca müşteri ve çalışan kaydına erişebildiğini, ayrıca kendisine ve arkadaşlarına sınırsız sayıda VIP backstage geçiş kartı düzenleyebildiğini belirtti. '4 bin dolarlık bir bileti tek tuşla istediğim kadar basabilmek gerçekten etkileyiciydi. Her etkinliğe kısıtlama olmadan gidebilir, süper VIP'lere satılan backstage geçişlerini bile alabilirdim' diyen Carroll, bu yetkiyi kötüye kullanmadı ve durumu Front Gate'e bildirdi. Şirket, güvenlik açığını 24 saat içinde kapattıklarını ve herhangi bir veri ihlali yaşanmadığını açıkladı.
Front Gate Tickets'ten yapılan açıklamada, 'Sorumlu bir güvenlik araştırmacısı, AI destekli araçlar kullanarak standart güvenlik duvarı kontrollerini aştı ve festival mekanlarındaki giriş tarayıcıları tarafından kullanılan bir iç API'ye erişti. Bu, tüketiciye yönelik bir sistem veya halka açık bir giriş portalı değildi' denildi. Ancak bu olay, yapay zekanın internetin her köşesinde güvenlik açıklarını ne kadar kolay bulabileceğini gözler önüne serdi.
Detaylar ve Etkileri
Carroll, Anthropic'in Siber Doğrulama Programı'nın bir üyesi olarak Claude'u belirli hackleme işlevleri için kullanma iznine sahipti. Claude'un tekniğin kilit unsurlarını ne kadar kolay ürettiğine şaşırdığını söyleyen araştırmacı, 'Bence Claude bu açığı ben hiçbir şey yapmadan baştan sona bulabilirdi' ifadelerini kullandı. Bu vaka, yapay zekanın siber güvenlikte hem bir tehdit hem de bir araç olarak potansiyelini bir kez daha ortaya koyuyor.