YORUM

Manşetlerden, üretken AI (GenAI) ve büyük dil modelleri (LLM) ile ilişkili güvenlik risklerinin fark edilmediği açıkça anlaşılıyor. Bu ilgi hak edilmemiş değil — AI araçları, “halüsinasyonlardan” özel ve tescilli verileri ifşa etmeye kadar uzanan gerçek dünya riskleriyle birlikte gelir. Yine de, bunların AI ve makine öğrenimi (ML) ile ilişkili çok daha geniş bir saldırı yüzeyinin parçası olduğunu kabul etmek hayati önem taşır.

Yapay zekanın hızlı yükselişi şirketleri, endüstrileri ve sektörleri temelden değiştirdi. Aynı zamanda, izinsiz girişlerden ve ihlallerden tescilli verilerin ve ticari sırların kaybına kadar uzanan yeni iş riskleri ortaya çıkardı.

Yapay zeka yeni bir şey değil — kuruluşlar on yıldan uzun süredir iş modellerine teknolojinin çeşitli biçimlerini dahil ediyor — ancak GenAI dahil olmak üzere yapay zeka sistemlerinin son zamanlarda kitlesel olarak benimsenmesi, riskleri değiştirdi. Günümüzün açık yazılım tedarik zincirleri, inovasyon ve iş büyümesi için inanılmaz derecede önemlidir, ancak bu risklerle birlikte gelir. İş açısından kritik sistemler ve iş yükleri giderek daha fazla yapay zekadan yararlandıkça, saldırganlar bunu fark ediyor ve hedeflerini ve saldırılarını bu teknolojilere çeviriyor.

Ne yazık ki, bu sistemlerin opaklığı nedeniyle, çoğu işletme ve devlet kurumu bu oldukça dağınık ve genellikle görünmez riskleri tespit edemez. Tehditlerin nerede olduğunu göremezler veya altyapılarına giren veya kullanılan varlıklar ve eserler üzerinde güvenlik politikalarını uygulamak için gerekli araçlara sahip değillerdir ve ekiplerini AI ve ML kaynaklarını etkili bir şekilde yönetmeleri için eğitme fırsatı bulamamış olabilirler. Bu, AI ile ilgili bir Güneş Rüzgarları– veya MOVEit tipi tedarik zinciri güvenlik olayı.

İşleri daha da karmaşık hale getirmek için, AI modelleri genellikle geniş bir araç, teknoloji, açık kaynak bileşenleri ve veri kaynakları ekosistemini içerir. Kötü niyetli aktörler, AI geliştirme tedarik zincirinde bulunan araçlara ve modellere güvenlik açıkları ve kötü amaçlı kod enjekte edebilir. Çok sayıda araç, kod parçası ve diğer öğeler ortalıkta dolaşırken, şeffaflık ve görünürlük giderek daha önemli hale geliyor, ancak bu görünürlük çoğu kuruluş için sinir bozucu bir şekilde erişilemez durumda kalıyor.

Yüzeyin Altına (Buzdağının) Bakmak

Kuruluşlar ne yapabilir? Kapsamlı bir AI güvenlik çerçevesi benimseyin, örneğin: MLSecOpsAI/ML ekosistemlerinde görünürlük, izlenebilirlik ve hesap verebilirlik sağlayan. Bu yaklaşım, düzenli iş operasyonlarına ve performansına müdahale etmeden tasarıma göre güvenli ilkeleri destekler.

Yapay zeka güvenlik programını çalıştırmanın ve riskleri azaltmanın beş yolu şunlardır:

  1. Risk yönetimi stratejilerini tanıtın: Tüm AI geliştirme yığınınızda güvenlik, önyargı ve adaleti ele almak için net politikalar ve prosedürlere sahip olmak hayati önem taşır. Politika uygulamasını destekleyen araçlar, düzenleyici, teknik, operasyonel ve itibar alanlarındaki riskleri verimli bir şekilde yönetmenizi sağlar.

  2. Güvenlik açıklarını belirleyin ve giderin: Gelişmiş güvenlik tarama araçları, istem dışı veya kasıtlı hasara neden olabilecek AI tedarik zinciri güvenlik açıklarını tespit edebilir. Entegre güvenlik araçları, AI malzeme listenizi (AIBOM) tarayabilir ve araçlar, modeller ve kod kitaplıkları içindeki olası zayıflıkları ve önerilen düzeltmeleri belirleyebilir.

  3. Bir AI malzeme listesi oluşturun: Tıpkı geleneksel bir yazılım malzeme listesinin çeşitli yazılım bileşenlerini kataloglaması gibi, bir AIBOM da AI sistemleri oluşturmada kullanılan tüm unsurları envanterler ve izler. Buna araçlar, açık kaynak kütüphaneleri, önceden eğitilmiş modeller ve kod bağımlılıkları dahildir. Doğru araçları kullanarak, AIBOM üretimini otomatikleştirmek ve AI ekosisteminizin herhangi bir anda net bir anlık görüntüsünü oluşturmak mümkündür.

  4. Açık kaynaklı araçları benimseyin: Özellikle AI ve ML için tasarlanmış ücretsiz, açık kaynaklı güvenlik araçları birçok fayda sağlayabilir. Bunlar arasında ML modellerindeki potansiyel güvenlik açıklarını tespit edip bunlara karşı koruma sağlayabilen tarama araçları ve LLM’lerde enjeksiyon saldırılarını tetikleyen araçlar yer alır.

  5. İş birliğini ve şeffaflığı teşvik edin: Yapay zeka hata ödül programları, yeni güvenlik açıklarına ilişkin erken içgörüler sunar ve bunları azaltmak için bir mekanizma sağlar. Zamanla, bu işbirlikçi çerçeve, yapay zeka ekosisteminin genel güvenlik duruşunu güçlendirir.

LLM’ler iş dünyasını ve dünyayı kökten değiştiriyor. İş modellerini yenilemek ve yeniden icat etmek için olağanüstü fırsatlar sunuyorlar. Ancak güvenliğe öncelik veren bir duruş olmadan, önemli riskler de sunuyorlar.

Karmaşık yazılım ve AI tedarik zincirleri, yüzeyin altında gizlenen görünmez risk buzdağları olmak zorunda değildir. Doğru süreçler ve araçlarla, kuruluşlar gizli riskleri görünür kılan gelişmiş bir AI güvenlik çerçevesi uygulayabilir ve güvenlik ekiplerinin bunları etkiden önce izlemesini ve ele almasını sağlayabilir.



siber-1