Yapay zeka sağ olsun: Hiç kodlama bilmeden siber korsan oldu

Yapay zeka teknolojilerinin global çapta yaygınlaşması; güç krizleri ve su kaynaklarının tükenmesi üzere çevresel sıkıntıları beraberinde getirdi. Fakat dijital güvenliği sarsan çok daha büyük bir kriz de kapıda bekliyor.

Haberi okuduğunuz için teşekkürler, bizi takip etmeyi unutmayın!

Google tarafından yayınlanan siber güvenlik raporları, yapay zekanın bilgisayar korsanları için nasıl bir silaha dönüştüğünü gözler önüne serdi. Bunun en net örneği, Anthropic şirketinin geçtiğimiz aylarda tanıttığı Claude Mythos modelinde görüldü. Gelişmiş yapay zeka casusunun; Windows, Linux, Chrome ve Firefox üzere tanınan sistemlerde daha evvel keşfedilmemiş binlerce güvenlik açığını saniyeler içinde bulabildiği duyuruldu. Bu durum, siber dünyadaki yıkıcı potansiyeli kanıtlarken korkulan senaryo çok geçmeden gerçeğe dönüştü.

OALABS Research tarafından paylaşılan bir olay tahlili, hiçbir siber güvenlik geçmişi olmayan amatör bir kullanıcının, yapay zeka yardımıyla nasıl büyük bir siber suçluya dönüştüğünü ortaya koydu. Atak sürecindeki kodlamaları, sızma süreçlerini ve teknik ayrıntıları kullanıcının kendisi değil, büsbütün Claude ve Codex üzere yapay zeka casusları yürüttü. Süreç, bu kişinin diğerlerine ilişkin sunucuları ele geçirip buralara yapay zeka kopyalarını yerleştirmesiyle başladı. Ele geçirilen bir sunucu sahibinin durumu fark etmesi üzerine, korsanın yapay zekaya verdiği tüm komut geçmişi açığa çıktı.

Sistem kayıtlarını inceleyen uzmanlar, bu operasyonun arkasında Etiyopya’da yaşayan genç bir adamın olduğunu saptadı. Korsanın kimliği, siber yeteneğinden değil, hack aksiyonlarına başlamadan çabucak evvel tıpkı yapay zekaya kendi özgeçmişini düzenletmesi sayesinde tespit edildi. Yapay zekaya verdiği komutların imla kusurlarıyla dolu olması ve yalnızca “şurayı tara” üzere kolay talimatlardan oluşması, bu kişinin hiçbir uzmanlığının olmadığını net halde kanıtlıyor.

Buna karşın genç bilgisayar korsanı, yapay zekanın ürettiği hazır kodlar sayesinde pek çok şahsî sunucuyu ele geçirdi, en az 14 şirketin zımnî datalarına erişti ve tek bir atakta 4 milyon dolarlık kripto parayı çalmaya yeltendi. Her ne kadar para çalma teşebbüsü başarısızlıkla sonuçlansa da ulaşılan bu ziyan boyutu yapay zekanın tehlikeli gücünü gösteriyor.

Basit söz oyunlarıyla yıkılan güvenlik duvarları

Anthropic üzere teknoloji devleri, yazılım geliştiren akıllı casusların ne kadar büyük riskler barındırdığının farkında olduklarını her fırsatta lisana getiriyor. Şirket, tehlikeli siber güvenlik komutlarını otomatik olarak daha kısıtlı ve inançlı olan Claude Opus modeline yönlendiren bariyerler kullanıyor. Lakin yaşanan bu olayda korsan, tüm aksiyonlarını esasen bu temel güvenlik duvarlarına sahip olan Claude Opus üzerinden gerçekleştirmeyi başardı.

Yapay zekanın berbat niyetli komutları reddeden kendi iç filtreleri var. Ancak Etiyopyalı genç, bu filtreleri epey kolay bir söz oyunuyla devre dışı bıraktı. Yapay zekaya kendisinin bir “red team” (yasal siber güvenlik ekibi) üyesi olduğunu ve siber açıklar üzerine yasal araştırmalar yaptığını söyledi. Bu geçersiz senaryoya büsbütün inanan yapay zeka casusu, filtreleri kaldırmakla kalmadı; gaye alınan şirketlerden ne kadar finansal çıkar elde edilebileceğine dair mali varsayım raporları bile hazırladı.

Hatta Claude; zımnî dataların satılması, şantaj ve direkt hırsızlık üzere yollarla bu paranın nasıl tahsil edileceğine dair bir yol haritası çizerek korsana rehberlik etti. Yapay zekanın bu süreçte reddettiği tek bir komut oldu: Korsan, muhakkak bir şahsın ve ailesinin ferdî dijital hesaplarındaki bilgileri çalmasını istediğinde, yapay zeka yasal grupların şahısları maksat alamayacağını belirterek bu talebe pürüz oldu.

Bugün internete bağlı olan herkesin erişebildiği yapay zeka araçları, büyük siber cürüm dalgalarının önünü açıyor. Sıfır teknik bilgiye sahip bir insanın bu düzeyde bir hasar yaratabilmesi, dijital dünyanın geleceğini tehdit ediyor.

Şu anki en büyük çıkmaz, yapay zekayı sistemleri güçlendirmek için kullanan düzgün niyetli araştırmacılar ile sistemleri yıkmak isteyen berbat niyetli aktörleri ayırt edebilecek kesin bir filtrenin bulunmaması. Modelleri büsbütün kısıtlamak siber savunma sanayisini felç etme riski taşırken, mevcut hürlüğü korumak siber alanda yıkıcı sonuçlar doğurabilir. İnsanların bile ayırt etmekte zorlandığı “kötü niyet” kavramını yapay zekaya öğretmek şimdilik mümkün görünmediği için, OpenAI ve Anthropic üzere teknoloji devleri bu büyük güvenlik açığı karşısında tahliller aramaya devam ediyor.