Buna gore ZekaSuni zeka şirketleri arasındaki yarış, birçok kişinin temel güvenlik hijyen uygulamalarını gözden kaçırmasına niçin oluyor.
Siber güvenlik firmasının çözümleme etmiş olduğu önde gelen 50 suni zeka firmasının yüzde 65’i GitHub’da doğrulanmış sırları sızdırmıştı. Açığa çıkanlar içinde çoğu zaman standart güvenlik araçlarının denetim etmediği kod depolarında gömülü olan API anahtarları, belirteçler ve duyarlı kimlik detayları yer ediniyor.
Glyn Morgan, UK&I Ülke Müdürü Tuz Güvenliğibu eğilimi önlenebilir ve temel bir hata olarak nitelendirdi. “Suni zeka firmaları yanlışlıkla API anahtarlarını açığa çıkardıklarında, önlenebilir, göze çarpan bir güvenlik arızasını açığa çıkarmış olurlar” dedi.
“Bu, OWASP’ın işaretlediği risk kategorilerinden ikisi olan güvenlik yapılandırmasıyla eşleştirilmiş yönetişimin ders kitabı örneğidir. Kimlik bilgilerini kod depolarına göndererek, saldırganlara sistemlere, verilere ve modellere altın bir bilet vererek olağan müdafa katmanlarını etkili bir halde atlatırlar.”
Wiz’in raporu giderek karmaşıklaşan tedarik zinciri güvenlik riskini vurguluyor. Mesele dahili geliştirme ekiplerinin ötesine uzanıyor; İşletmeler suni zeka girişimleriyle giderek daha çok ortaklık kurdukça, onların güvenlik duruşunu devralabilirler. Araştırmacılar, buldukları bazı sızıntıların “organizasyon yapılarını, eğitim verilerini ve hatta hususi modelleri açığa çıkarmış olabileceği” mevzusunda uyarıyor.
Finansal riskler oldukça büyük. Doğrulanmış sızıntılarla çözümleme edilen şirketlerin toplam kıymeti 400 milyar doların üstünde.
Forbes AI 50 sıralamasında yer edinen şirketlere odaklanan raporda risklere ilişkin örnekler veriliyor:
- LangChain’in, bazılarının organizasyonu yönetme ve üyelerini listeleme izinlerine haiz olan birden fazla Langsmith API anahtarını açığa çıkardığı tespit edildi. Bu tür bilgiler, saldırganlar tarafınca bulgu amacıyla oldukça değerlidir.
- ElevenLabs için kurumsal düzeyde bir API anahtarının düz metin dosyasında bulunmuş olduğu ortaya çıkarıldı.
- İsimsiz bir AI 50 şirketinin silinmiş bir kod çatalında HuggingFace tokenı açığa çıktı. Bu tek jeton “izin ver[ed] ortalama 1.000 hususi modele erişim”. Aynı şirket bununla beraber WeightsAndBiases anahtarlarını da sızdırarak “birçok hususi modelin eğitim verilerini” açığa çıkardı.
Wiz raporu, geleneksel güvenlik tarama şekillerinin artık kafi olmaması sebebiyle bu probleminin bu kadar yaygın bulunduğunu öne sürüyor. Bir firmanın ana GitHub depolarının temel taramalarına güvenmek, en ciddi riskleri gözden kaçıran “metalaştırılmış bir yaklaşımdır”.
Araştırmacılar durumu bir “buzdağı” olarak tanımlıyor (kısaca en belirgin riskler görünür, sadece daha büyük çekince “yüzeyin altında” yatıyor.) Bu gizli saklı riskleri bulmak için araştırmacılar “Derinlik, Çevre ve Kapsama” adını verdikleri üç boyutlu bir tarama yöntemini benimsediler:
- Derinlik: Derin taramaları, bir çok tarayıcının “asla dokunmadığı” alanlar olan “tam taahhüt geçmişini, çatallardaki taahhüt geçmişini, silinmiş çatalları, iş akışı günlüklerini ve özetlerini” çözümleme etti.
- Çevre: Tarama, kurum üyelerini ve katkıda bulunanları kapsayacak şekilde çekirdek şirket organizasyonunun ötesine genişletildi. Bu kişiler “şirketle ilgili sırları yanlışlıkla kendi kamu depolarına aktarabilirler”. Ekip, koda katkıda bulunanları, organizasyon takipçilerini ve hatta “HuggingFace ve npm şeklinde ilgili ağlardaki korelasyonları” takip ederek bu bitişik hesapları belirledi.
- Kapsam: Araştırmacılar bilhassa WeightsAndBiases, Groq ve Perplexity şeklinde platformların anahtarları şeklinde geleneksel tarayıcıların çoğunlukla gözden kaçırılmış olduğu suni zeka ile ilgili yeni gizli saklı türleri aradılar.
Bu genişletilmiş hücum yüzeyi, süratli hareket eden birçok şirkette güvenlik mevzusunda olgunluk eksikliği göz önüne alındığında bilhassa kaygı vericidir. Rapor, araştırmacıların sızıntıları açıklamaya çalıştığında, açıklamaların neredeyse yarısının ya hedefe ulaşamadığını ya da herhangi bir cevap alamadığını belirtiyor. Pek oldukça firmanın resmi bir izahat kanalı yoktu yada bildirim alındığında problemi çözmede başarısız oldu.
Wiz’in bulguları, kurumsal teknoloji yöneticileri için bir uyarı durumunda olup, hem dahili hem de üçüncü taraf güvenlik riskini yönetmek için üç acil fiil öğesini vurgulamaktadır.
- Güvenlik liderleri, çalışanlarına şirketlerinin hücum yüzeyinin bir parçası olarak davranmalıdır. Rapor, çalışanların iştirakı esnasında uygulanacak bir Sürüm Denetim Sistemi (VCS) üye politikası oluşturulmasını öneriyor. Bu siyaset, kişisel hesaplar için oldukça faktörlü kimlik doğrulamanın kullanılması ve GitHub şeklinde platformlarda kişisel ve ustalaşmış faaliyetler içinde katı bir fark yapılması şeklinde uygulamaları mecburi kılmalıdır.
- Dahili gizli saklı tarama, temel depo kontrollerinin ötesine geçmelidir. Rapor, şirketleri “tartışılamaz bir müdafa” olarak kamuya açık VCS gizli saklı taramasını mecburi kılmaya çağırıyor. Bu tarama, yüzeyin altında gizlenen tehditleri bulmak için yukarıda bahsedilen “Derinlik, Çevre ve Kapsama” zihniyetini benimsemelidir.
- Bu düzeydeki bir incelemenin suni zeka tedarik zincirinin tamamına genişletilmesi gerekiyor. CISO’lar, suni zeka tedarikçilerinin araçlarını değerlendirirken yada entegre ederken sır yönetimi ve güvenlik açığı izahat uygulamalarını incelemelidir. Rapor, birçok suni zeka hizmet sağlayıcısının kendi API anahtarlarını sızdırdığını ve “kendi gizli saklı türlerinin tespitine öncelik vermesi” icap ettiğini belirtiyor.
Kuruluşlara verilen temel ileti, yeni nesil teknolojiyi tanımlayan vasıta ve platformların, çoğu zaman güvenlik yönetimini geride bırakacak bir hızda oluşturulduğudur. Wiz’in sözlerini şu şekilde tamamlıyor: “Suni zeka yenilikçileri için ileti açık: hız, güvenlikten taviz veremez”. O yeniliğe bağımlı olan işletmeler için de aynı uyarı geçerlidir.
Ek olarak bakınız: Hususi: Dubai’nin Dijital Hükümet şefi, suni zeka verimliliği yarışında hızın harcamalardan üstün bulunduğunu söylüyor
Sektör liderlerinden suni zeka ve büyük veri hakkında daha çok data edinmek ister misiniz? Çıkış yapmak Yapay Zeka ve Büyük Veri Fuarı Amsterdam, Kaliforniya ve Londra’da gerçekleşiyor. Kapsamlı etkinlik, TechEx ve aşağıdakiler de dahil olmak suretiyle öteki önde gelen teknoloji etkinlikleriyle aynı yerde bulunmaktadır: Siber Güvenlik Fuarıtıklamak Burada daha çok data için.
AI News tarafınca desteklenmektedir TechForge Medyası. Yaklaşan öteki kurumsal teknoloji etkinliklerini ve web seminerlerini keşfedin Burada.
