Yamasız Kritik Güvenlik Açıkları Yapay Zeka Modellerini Devralmaya Açıyor - Dünyadan Güncel Teknoloji Haberleri

Yamasız Kritik Güvenlik Açıkları Yapay Zeka Modellerini Devralmaya Açıyor - Dünyadan Güncel Teknoloji Haberleri

“Diğer sektörlerde geliştikçe gördüğümüz şeyin aynısını yapay zekada da görüyoruz” diyor

Etkilenen platformlar, büyük dil modellerini (LLM) ve diğer makine öğrenimi platformlarını ve yapay zekaları barındırmak, dağıtmak ve paylaşmak için kullanılıyor DeğilYazılım bakımcılarına ve satıcılarına güvenlik açıkları hakkında bilgi vererek, sorunları düzeltmeleri için onlara 45 gün süre tanıdı ”

HackerOne’ın kıdemli çözüm mimarı Dane Sherrets, insanların ChatGPT gibi yapay zeka sistemleriyle yaşadığı doğal dil etkileşimlerini destekleyen altyapıya karşı yeni istismarlarla mücadele etmenin daha da etkili olacağını söylüyor Çünkü siber suçlular bu tür güvenlik açıklarını tetikleyebildiğinde yapay zeka sistemlerinin verimliliği, etkiyi çok daha büyük hale getirecek Makine öğrenimi modellerinin dağıtılmış eğitiminde kullanılan Ray; Bir makine öğrenimi yaşam döngüsü platformu olan MLflow; ModelDBbir makine öğrenimi yönetim platformu; Ve H20 sürüm 3Java tabanlı makine öğrenimi için açık kaynaklı bir platform ”

Örneğin, Ray dağıtılmış öğrenme platformunun API’sindeki kritik bir yerel dosya ekleme sorunu (artık yamalı), bir saldırganın sistemdeki herhangi bir dosyayı okumasına olanak tanıyor

Risk teorik değil: Büyük şirketler, yararlı yapay zeka modelleri bulmak ve bunları pazarlarına ve operasyonlarına uygulamak için halihazırda agresif kampanyalara giriştiler

“Endüstriyel casusluk büyük bir bileşendir ve yapay zeka ve makine öğrenimi savaşında modeller çok değerli bir fikri mülkiyet varlığıdır” diyor Bankalar, örneğin ipotek işlemleri ve kara para aklamanın önlenmesi için halihazırda makine öğrenimini ve yapay zekayı kullanıyor

MMakine öğrenimi güvenlik şirketi Koruma AI, yapay zekaya özgü hata giderme programı Huntr’ın bir parçası olarak sonuçları 16 Kasım’da açıkladı “Hedeflediğimiz bu makine öğrenimi sistemleri [with the bug-bounty program] çoğu zaman yükseltilmiş ayrıcalıklara sahiptir ve bu nedenle, birisi ağınıza girebiliyorsa, bu ayrıcalıkların hızlı bir şekilde çok hassas bir sisteme aktarılamaması çok önemlidir

Koruma AI’nın başkanı ve kurucu ortağı Daryan Dehghanpisheh, bu AI sistemlerinde güvenlik açıklarının bulunması altyapının tehlikeye atılmasına yol açsa da, fikri mülkiyetin çalınmasının da büyük bir hedef olduğunu söylüyor “Ama yaptığımız şeyler [cybersecurity professionals] Geleneksel veri merkezleri için bunu yapıyor olmanız sizi bulutta güvende tutmayabilir ve bunun tersi de geçerlidir Artık belirli bir kabul düzeyine ulaşıldığında, insanlar güvenlikle ilgili sonuçları sormaya başlıyor Örneğin, sunucunun ele geçirilmesi ve düşük kodlu yapay zeka hizmetlerinden kimlik bilgilerinin çalınması, ilk erişim için iki olasılıktır H20 platformundaki başka bir sorun (yine düzeltildi), kodun bir AI modelinin içe aktarılması yoluyla yürütülmesine izin veriyor İşletmeler sıklıkla bilgi güvenliği gruplarına danışmadan yapay zeka tabanlı araçları ve iş akışlarını benimsedi

Sorunların her birine bir CVE tanımlayıcısı atandı ve sorunların çoğu düzeltilse de diğerleri yama yapılmadan kaldı; bu durumda, Koruma AI, şu adreste bir geçici çözüm önerdi: onun tavsiyesi Ancak bu durum değişmek üzere olabilir Bunun ardından yapay zeka ve makine öğrenimi sistemlerini ve bunların operasyonlarını hedef alabilecek çeşitli düşmanca saldırılar geliştirildi “Eğitim verilerinin zehirlenmesi gibi AI güvenlik açıkları da önemli bir dalgalanma etkisine sahip olabilir ve bu da hatalı veya kötü niyetli çıktıların geniş çapta yayılmasına yol açabilir

“Çıkarım sunucuları, kullanıcıların ML modellerini kullanabilmesi için erişilebilir uç noktalara sahip olabilir [remotely], ancak birisinin ağına girmenin birçok yolu var” diyor



Araştırmacılar, yapay zeka modellerinin kullandığı altyapıda, şirketleri yapay zekadan yararlanmak için yarışırken risk altında bırakabilecek neredeyse bir düzine kritik güvenlik açığı (artı üç yüksek ve iki orta şiddette hata) tespit etti

“Herhangi bir yüksek teknoloji yutturmaca döngüsünde olduğu gibi, insanlar sistemleri dağıtacak, uygulamalar yayınlayacak ve iş ve pazarın ihtiyaçlarını karşılamak için yeni deneyimler yaratacaklar ve çoğu zaman ya güvenliği ihmal edecekler ve bunları yaratacaklar Trend Micro’nun Sıfır Gün Girişimi Tehdit Farkındalığı Başkanı Dustin Childs, yakında bunun mümkün olacağını söylüyor

Örneğin, Trend Micro’nun Zero Day Initiative’i, AI/ML araçlarında hata bulma konusunda henüz önemli bir talep görmedi, ancak grup, sektörün araştırmacıların bulmasını istediği güvenlik açıkları türlerinde düzenli değişiklikler gördü ve muhtemelen bir AI odağı gelecek ”

Yapay Zeka Altyapısı Güvenliği: Çoğunlukla Gözden Kaçırılıyor

ChatGPT’nin bir yıl önce piyasaya sürülmesinin ardından, yapay zekaya dayalı teknolojiler ve hizmetler, özellikle de üretken yapay zeka (GenAI) yükselişe geçti

Bu saldırılar “sistemin hassas veya gizli verileri yaymasına neden olabilir veya kötü niyetli aktörün sistemin arka ucuna erişmesine yardımcı olabilir” diyor

Yapay Zeka Hataları Kuruluşlar İçin Yüksek Risk Oluşturuyor

Koruma AI’ya göre, AI sistemlerindeki güvenlik açıkları, saldırganların AI modellerine yetkisiz erişimini sağlayarak, modelleri kendi hedefleri için seçmelerine olanak tanıyor Bazıları yamalı olarak kalıyor “Bir modeli eğitmek için günlük olarak ne kadar para harcandığını ve bir milyar parametreden ve daha fazlasından, dolayısıyla çok fazla yatırımdan, yalnızca kolayca tehlikeye atılan veya çalınan saf sermayeden bahsederken ne kadar para harcandığını bir düşünün ”



siber-1

Örneğin 15 Kasım’da yapay zeka güvenlik firması Adversa AI
GPT tabanlı sistemlere yönelik bir dizi saldırıyı açıkladı sistemin erişebildiği API’lerin anında sızdırılması ve numaralandırılması dahil “İlk başta, işlevsellik eklemek amacıyla güvenliğe öncelik verilmedi ”

Protect AI, farklı makine öğrenimi platformları için binlerce araştırmacının güvenlik açığı bildirimlerini talep etmek amacıyla Huntr adlı hata ödül platformunu kullandı, ancak şu ana kadar bu sektördeki hata avcılığı henüz emekleme aşamasında ” Dehghanpisheh, bir tür ‘gölge yığınları’ oluşturacaklarını veya sahip oldukları mevcut güvenlik yeteneklerinin onları güvende tutabileceğini varsayacaklarını” söylüyor

Ancak ProtectAI’nin hata açıklamaları, makine öğrenimi süreçlerini ve yapay zeka operasyonlarını destekleyen araçların ve altyapının da hedef haline gelebileceğinin altını çiziyor

Ama aynı zamanda onlara ağın geri kalanına açılan bir kapı da açabilirler, diyor Koruma AI’nın baş mimarı Sean Morgan