Bizimle iletişime geçin

Sırrı Olmayan Zorunluluk: Yapay Zeka Ajanları Kodlara Dokunduğunda Geleneksel Güvenlik Modelleri Neden Çöküyor?

Düşünce Liderleri

Sırrı Olmayan Zorunluluk: Yapay Zeka Ajanları Kodlara Dokunduğunda Geleneksel Güvenlik Modelleri Neden Çöküyor?

mm
Yayınlanan

Nisan ayında 2023, Samsung, mühendislerinin hassas bilgileri ChatGPT'ye sızdırdığını keşfetti.Ama bu tesadüfiydi. Şimdi, bu kod depolarının, insanlar tarafından görülemeyen ancak yapay zeka tarafından işlenen, yalnızca kodu değil, yapay zekanın erişebileceği her API anahtarını, veritabanı kimlik bilgisini ve hizmet belirtecini çıkarmak üzere tasarlanmış, kasıtlı olarak yerleştirilmiş talimatlar içerdiğini hayal edin. Bu varsayımsal değil. Güvenlik araştırmacıları zaten bunu gösterdi. Bu "görünmez talimat" saldırıları işe yarıyor. Soru, bunun olup olmayacağı değil, ne zaman olacağıdır.

Artık Var Olmayan Sınır

On yıllardır, güvenliği temel bir varsayıma dayandırdık: kod koddur, veri veridir. SQL enjeksiyonu bize sorguları parametreleştirmeyi öğretti. Siteler arası komut dosyası çalıştırma (XSS) bize çıktıları nasıl kaçıracağımızı öğretti. Programların yaptıkları ile kullanıcıların girdileri arasında duvarlar örmeyi öğrendik.

Yapay zekâ ajanları sayesinde bu sınır ortadan kalktı.

Tahmin edilebilir yolları izleyen deterministik yazılımların aksine, Büyük Dil Modelleri, meşru geliştirici talimatları ile kötü niyetli girdiler arasında ayrım yapamayan olasılıksal kara kutulardır. Bir saldırgan bir yapay zekâ kodlama asistanına bir komut verdiğinde, sadece veri sağlamakla kalmaz. Esasen uygulamayı anında yeniden programlar. Girdi, programın kendisi haline gelir.

Bu, uygulama güvenliği hakkında bildiğimiz her şeyden temel bir kopuşu temsil ediyor. Geleneksel sözdizimi tabanlı güvenlik duvarları, DROP TABLE gibi kötü amaçlı kalıpları arar veya tags, fail completely against natural language attacks. Researchers have demonstrated “semantic substitution” techniques where replacing “API keys” with “apples” in prompts allows attackers to bypass filters entirely. How do you firewall intent when it’s disguised as harmless conversation?

Kimsenin Konuşmadığı Sıfır Tıklama Gerçeği

Çoğu güvenlik ekibinin anlamadığı şey şu: komut satırı enjeksiyonu, kullanıcının herhangi bir şey yazmasını gerektirmez. Bunlar genellikle sıfır tıklama gerektiren saldırılardır. Bir yapay zeka ajanı, rutin bir görev için kod deposunu tarayarak, bir çekme isteğini inceleyerek veya API belgelerini okuyarak, herhangi bir insan etkileşimi olmadan bir saldırıyı tetikleyebilir.

Şu senaryoyu ele alalım: araştırmacıların zaten kanıtladığı tekniklerKötü niyetli bir kişi, popüler bir açık kaynak kodlu kütüphanenin dokümantasyonuna HTML yorumları içine görünmez talimatlar yerleştiriyor. Bu kodu analiz eden her yapay zeka asistanı, ister GitHub Copilot, ister Amazon CodeWhisperer veya herhangi bir kurumsal kodlama asistanı olsun, potansiyel bir kimlik bilgisi toplayıcısı haline geliyor. Bir kütüphanenin tehlikeye girmesi, binlerce geliştirme ortamının açığa çıkması anlamına gelebilir.

Tehlike, LLM'nin kendisinde değil; ona verdiğimiz yetkidedir. Bu modelleri araçlar ve API'lerle entegre edip, veri çekmelerine, kod çalıştırmalarına ve gizli bilgilere erişmelerine izin verdiğimiz anda, faydalı asistanları mükemmel saldırı vektörlerine dönüştürdük. Risk, modelin zekasıyla değil, bağlantı özellikleriyle artar.

Mevcut Yaklaşımın Başarısızlığa Mahkum Olmasının Nedenleri

Sektör şu anda modelleri "uyumlaştırmaya" ve daha iyi güvenlik duvarları oluşturmaya takıntılı durumda. OpenAI daha fazla güvenlik önlemi ekliyor. Anthropic ise anayasal yapay zekaya odaklanıyor. Herkes kandırılamayacak modeller yapmaya çalışıyor.

Bu kaybedilmiş bir savaş.

Bir yapay zeka, işe yarayacak kadar zekiyse, kandırılabilecek kadar da zekidir. Ben buna "temizleme tuzağı" diyorum: daha iyi girdi filtrelemenin bizi kurtaracağını varsayıyoruz. Ancak saldırılar, HTML yorumlarında görünmez metin olarak gizlenebilir, dokümantasyonun derinliklerine gömülebilir veya henüz hayal edemediğimiz şekillerde kodlanabilir. Bağlamsal olarak anlayamadığınız şeyi temizleyemezsiniz ve bağlam, dil öğrenme modellerini güçlü kılan şeydir.

Sektörün acı bir gerçeği kabul etmesi gerekiyor: Hızlı enjeksiyon başarılı olacaktır. Soru şu ki, başarılı olduğunda ne olacak?

İhtiyaç Duyduğumuz Mimari Dönüşüm

Şu anda "yama yapma aşamasındayız", umutsuzca girdi filtreleri ve doğrulama kuralları ekliyoruz. Ancak tıpkı SQL enjeksiyonunu önlemenin daha iyi dize kaçış algoritmaları değil, parametreli sorgular gerektirdiğini sonunda öğrendiğimiz gibi, yapay zeka güvenliği için de mimari bir çözüme ihtiyacımız var.

Cevap, basit gibi görünen ancak sistemleri nasıl kurduğumuzu yeniden düşünmeyi gerektiren bir prensipte yatıyor: Yapay zekâ ajanları, kullandıkları sırları asla bilmemelidir.

Bu, daha iyi kimlik bilgisi yönetimi veya geliştirilmiş kasa çözümleriyle ilgili değil. Bu, yapay zeka ajanlarını parola gerektiren kullanıcılar yerine benzersiz, doğrulanabilir kimlikler olarak tanımakla ilgili. Bir yapay zeka ajanı korumalı bir kaynağa erişmesi gerektiğinde şunları yapmalıdır:

  1. Doğrulanabilir kimliğini kullanarak kimlik doğrulaması yapın (saklanmış bir gizli bilgi değil).

  2. Sadece o belirli görev için geçerli olan, tam zamanında kimlik bilgilerini alın.

  3. Bu kimlik bilgilerinin saniyeler veya dakikalar içinde otomatik olarak süresinin dolmasını sağlayın.

  4. Uzun süreli sırları asla saklamayın, hatta "görmeyin" bile.

Çeşitli yaklaşımlar ortaya çıkıyor. Hizmet hesapları için AWS IAM rolleri, Google'ın İş Yükü Kimliği, HashiCorp Kasası'nın dinamik sırlarıAkeyless'in Sıfır Güven Sağlama gibi amaca yönelik çözümlerin tümü bu sır içermeyen geleceğe işaret ediyor. Uygulama detayları farklılık gösterse de, ilke aynı kalıyor: Yapay zekanın çalabileceği hiçbir sır yoksa, hızlı enjeksiyon tehdidi önemli ölçüde azalır.

2027 Yılının Gelişim Ortamı

Üç yıl içinde, yapay zeka destekli geliştirmede .env dosyası ortadan kalkacak. Ortam değişkenlerinde uzun süre saklanan API anahtarları, bugün şifreleri düz metin olarak gördüğümüz gibi, daha naif bir dönemin utanç verici bir kalıntısı olarak görülecek.

Bunun yerine, her yapay zeka ajanı katı bir ayrıcalık ayrımı altında çalışacak. Varsayılan olarak salt okunur erişim. Standart olarak eylem beyaz listeleme. Uyumluluk gerekliliği olarak korumalı yürütme ortamları. Yapay zekanın ne düşündüğünü kontrol etmeye çalışmayı bırakıp, tamamen ne yapabileceğini kontrol etmeye odaklanacağız.

Bu sadece teknik bir evrim değil; güven modellerinde temel bir değişim. "Güven ama doğrula" yaklaşımından "asla güvenme, her zaman doğrula ve taviz varsay" yaklaşımına geçiyoruz. Uzun zamandır savunulan ancak nadiren uygulanan en az ayrıcalık ilkesi, genç geliştiriciniz günde binlerce potansiyel olarak kötü niyetli girdiyi işleyen bir yapay zeka olduğunda pazarlık konusu olamaz hale geliyor.

Karşı Karşıya Olduğumuz Seçim

Yapay zekanın yazılım geliştirmeye entegrasyonu kaçınılmaz ve büyük ölçüde faydalıdır. GitHub'ın bildirdiğine göre, Copilot kullanan geliştiriciler görevleri %55 daha hızlı tamamlıyor.Verimlilik artışları gerçektir ve rekabetçi kalmak isteyen hiçbir kuruluş bunları göz ardı edemez.

Ancak bir yol ayrımındayız. Daha fazla güvenlik önlemi ekleyerek, daha iyi filtreler oluşturarak ve kandırılamayacak yapay zekâ ajanları yaratmayı umarak mevcut yolda ilerlemeye devam edebiliriz. Ya da tehdidin temel doğasını kabul edip güvenlik mimarimizi buna göre yeniden inşa edebiliriz.

Samsung olayı bir uyarı işaretiydi. Bir sonraki ihlal kaza eseri olmayacak ve tek bir şirketle sınırlı kalmayacak. Yapay zekâ ajanları daha fazla yetenek kazandıkça ve daha fazla sisteme erişim sağladıkça, potansiyel etki katlanarak artacaktır.

Her CISO, her mühendislik lideri ve her geliştirici için soru basit: Ortamınızda anlık enjeksiyon saldırısı başarılı olduğunda (ki olacaktır), saldırgan ne bulacak? Uzun ömürlü kimlik bilgilerinden oluşan bir hazine mi keşfedecekler, yoksa ele geçirilmiş olmasına rağmen çalınacak hiçbir sırrı olmayan bir yapay zeka ajanı mı bulacaklar?

Şimdi yapacağımız seçim, yapay zekanın yazılım geliştirmenin en büyük hızlandırıcısı mı yoksa şimdiye kadar yarattığımız en büyük güvenlik açığı mı olacağını belirleyecek. Güvenli, gizlilik içermeyen yapay zeka sistemleri kurma teknolojisi bugün mevcut. Soru şu ki, saldırganlar bizi zorlamadan önce bunu uygulamaya koyacak mıyız?

OWASP, ani enjeksiyonu en büyük risk olarak zaten belirlemiştir. Yüksek lisans başvuruları için ilk 10'da yer alıyorlar. NIST, kılavuz geliştiriyor. Sıfır güven mimarileri üzerine. Çerçeveler mevcut. Tek soru, uygulama hızı ile saldırı evrimi arasındaki denge.

Biyografi: Refael Angel, şirketin Kurucu Ortağı ve CTO'sudur. AnahtarsızŞirketin patentli Sıfır Güven şifreleme teknolojisini geliştirdiği yerde çalıştı. Kriptografi ve bulut güvenliği konusunda derin uzmanlığa sahip deneyimli bir yazılım mühendisi olan Refael, daha önce Intuit'in İsrail'deki Ar-Ge merkezinde Kıdemli Yazılım Mühendisi olarak görev yapmış, burada halka açık bulut ortamlarında şifreleme anahtarlarını yönetmek için sistemler geliştirmiş ve makine kimlik doğrulama hizmetleri tasarlamıştır. 19 yaşında Kudüs Teknoloji Koleji'nden Bilgisayar Bilimleri alanında lisans derecesi almıştır.

İlgili konular:
mm

Refael Angel, şirketin kurucu ortağı ve CTO'sudur. AnahtarsızŞirketin patentli Sıfır Güven şifreleme teknolojisini geliştirdiği yerde çalıştı. Kriptografi ve bulut güvenliği konusunda derin uzmanlığa sahip deneyimli bir yazılım mühendisi olan Refael, daha önce Intuit'in İsrail'deki Ar-Ge merkezinde Kıdemli Yazılım Mühendisi olarak görev yapmış, burada halka açık bulut ortamlarında şifreleme anahtarlarını yönetmek için sistemler geliştirmiş ve makine kimlik doğrulama hizmetleri tasarlamıştır. 19 yaşında Kudüs Teknoloji Koleji'nden Bilgisayar Bilimleri alanında lisans derecesi almıştır.