Yapay zeka (AI), siber güvenliğe nasıl yaklaştığımız da dahil olmak üzere hayatımızın birçok alanında devrim yaratma potansiyeline sahiptir. Ancak, dikkatli bir şekilde yönetilmesi gereken yeni riskler ve zorluklar da sunar.
Yapay zekanın siber güvenlikte kullanılabilmesinin bir yolu, siber tehditleri algılayabilen ve bunlara yanıt verebilen akıllı sistemlerin geliştirilmesidir.
Yapay zeka ve siber tehditler hakkında yazmasını istediğimde yapay zeka sohbet robotunun yanıtı buydu. Eminim şimdiye kadar şehirdeki en popüler delikanlı ChatGPT’den bahsettiğimi biliyorsunuzdur.
Kasım 2022’de bir yapay zeka araştırma ve geliştirme şirketi olan OpenAI, sorguları yanıtlamak için büyük bir veri havuzu üzerinde eğitilen InstructGPT modelinin bir varyasyonuna dayanan ChatGPT’yi (Üretken Önceden Eğitimli Transformatör) tanıttı. Ayrıntılı bir bilgi istemi verildiğinde sohbet şeklinde etkileşime girer, hataları kabul eder ve hatta uygunsuz istekleri reddeder. Şu anda yalnızca beta testi için mevcut olmasına rağmen, halk arasında son derece popüler hale geldi. OpenAI, 2023’te gelişmiş bir sürüm olan ChatGPT-4’ü piyasaya sürmeyi planlıyor.
ChatGPT, farklı dillerde yazılım yazabilmesi, kodda hata ayıklayabilmesi, karmaşık bir konuyu birden fazla şekilde açıklayabilmesi, bir röportaj için hazırlık yapabilmesi veya bir makale taslağı yazabilmesi açısından diğer yapay zeka modellerinden farklıdır. Bu konuları öğrenmek için Web aramaları yoluyla yapılabileceklere benzer şekilde, ChatGPT bu tür görevleri kolaylaştırır, hatta nihai çıktıyı sağlar.
AI araçları ve uygulamaları dalgası bir süredir büyüyor. ChatGPT’den önce, Lensa AI uygulamasının ve Dall-E 2’nin metinden dijital olarak görüntüler oluşturmak için gürültü yaptığını gördük. Bu uygulamalar, kullanımı güzel olabilecek olağanüstü sonuçlar göstermiş olsa da, dijital sanat topluluğu, bu modelleri eğitmek için kullanılan çalışmalarının şimdi kendilerine karşı kullanılmasından pek memnun değildi çünkü bu, büyük gizlilik ve etik kaygıları gündeme getirdi. Sanatçılar, çalışmalarının modeli eğitmek için kullanıldığını ve artık uygulama kullanıcıları tarafından izinleri olmadan resimler oluşturmak için kullanıldığını keşfetti.
Lehte ve aleyhte olanlar
Her yeni teknolojide olduğu gibi, ChatGPT’nin de kendi avantajları ve zorlukları vardır ve siber güvenlik pazarında önemli bir etkisi olacaktır.
AI, gelişmiş siber güvenlik ürünleri geliştirmeye yardımcı olacak umut verici bir teknolojidir. Birçoğu, potansiyel tehditleri daha hızlı belirlemek için yapay zeka ve makine öğreniminin daha geniş kullanımının kritik öneme sahip olduğuna inanıyor. ChatGPT, siber saldırıları tespit edip bunlara yanıt vermede ve bu tür zamanlarda kuruluş içindeki iletişimi iyileştirmede çok önemli bir rol oynayabilir. Hata ödül programları için de kullanılabilir. Ancak teknolojinin olduğu yerde bunlar göz ardı edilmemesi gereken siber risklerdir.
İyi veya Kötü Kod
ChatGPT, yazması istenirse kötü amaçlı yazılım kodu yazmaz; uygunsuz istekleri belirlemek için güvenlik protokolleri gibi korkuluklara sahiptir.
Ancak son birkaç gün içinde geliştiriciler, protokolleri atlatmak için çeşitli yollar denediler ve istenen çıktıyı almayı başardılar. Bir bilgi istemi, bota doğrudan bir istem yerine kötü amaçlı yazılımı yazmanın adımlarını açıklayacak kadar ayrıntılıysa istemi yanıtlayarak istek üzerine etkili bir şekilde kötü amaçlı yazılım oluşturur.
ChatGPT gibi bir yapay zeka programının yardımıyla hizmet olarak kötü amaçlı yazılım sunan suç gruplarının halihazırda olduğu düşünüldüğünde, saldırganların yapay zeka tarafından oluşturulan kod yardımıyla siber saldırılar başlatması yakında daha hızlı ve kolay hale gelebilir. ChatGPT, daha az deneyimli saldırganlara, daha önce yalnızca uzmanlar tarafından yapılabilen daha doğru bir kötü amaçlı yazılım kodu yazabilme gücü verdi.
İş E-postası Uzlaşması
ChatGPT, e-postalar ve makaleler gibi herhangi bir içerik sorgusuna yanıt vermede mükemmeldir. Bu, özellikle iş e-postası gizliliği veya BEC adı verilen bir saldırı yöntemiyle birlikte kullanıldığında geçerlidir.
BEC ile saldırganlar, bir alıcıyı kandırarak saldırgana istedikleri bilgileri veya varlığı sağlamasını sağlayan aldatıcı bir e-posta oluşturmak için bir şablon kullanır.
BEC saldırılarını tespit etmek için genellikle güvenlik araçları kullanılır, ancak ChatGPT’nin yardımıyla saldırganlar, yapay zekanın yardımıyla kendileri için oluşturulan her e-posta için potansiyel olarak benzersiz içeriğe sahip olabilir ve bu da bu saldırıların tespit edilmesini zorlaştırır.
Benzer şekilde, günümüzde bu saldırıları meşru e-postalardan ayırt etmek için genellikle kritik olan yazım hataları veya benzersiz biçimler olmadan kimlik avı e-postaları yazmak daha kolay hale gelebilir. Korkutucu kısım, komut istemine mümkün olduğu kadar çok varyasyon ekleyebilmenizdir, örneğin “e-postayı acil göstermek,” “alıcıların bağlantıya tıklama olasılığı yüksek olan e-posta,” “sosyal mühendislik e-posta isteği banka havalesi,” ve benzeri.
Aşağıda, ChatGPT’nin istemime nasıl yanıt vereceğini görmek için girişimde bulundum ve şaşırtıcı derecede iyi sonuçlar verdi.
Buradan nereye gidiyoruz?
ChatGPT aracı, iyi kullanılırsa birçok siber güvenlik senaryosunda dönüşüm sağlar.
Araçla araştırma deneyimime ve halkın çevrimiçi gönderilerine dayanarak, ChatGPT en ayrıntılı taleplerde doğru olduğunu kanıtlıyor, ancak yine de bir insan kadar doğru değil. Ne kadar çok istem kullanılırsa, model kendini o kadar çok eğitir.
ChatGPT’nin olumlu ve olumsuz potansiyel kullanımlarının neler olduğunu görmek ilginç olacak. Kesin olan bir şey var: Endüstri, bir güvenlik sorunu yaratırsa öylece bekleyip izleyemez. Yapay zekadan gelen tehditler, ortaya çıkan yeni bir sorun değil, yalnızca ChatGPT artık korkutucu görünen farklı örnekler gösteriyor. Güvenlik tedarikçilerinin, yapay zeka tarafından oluşturulan bu saldırıları tespit etmek için davranışsal yapay zeka tabanlı araçları uygulamak konusunda daha proaktif olmasını bekliyoruz.