OpenAI, ChatGPT Atlas adlı yapay zekâ destekli tarayıcısını güçlendirmeye yönelik çalışmalarını sürdürürken, yapay zekâ sistemlerine özgü bir siber tehdit türü olan prompt enjeksiyon saldırılarına karşı kalıcı bir çözümün mümkün olmadığını belirtti. Şirketin yayınladığı yeni bir blog gönderisine göre, bu tür saldırılar, tıpkı internet dolandırıcılıkları ve sosyal mühendislik girişimleri gibi, tamamen ortadan kaldırılamayacak yapısal güvenlik zorlukları arasında yer alıyor.
ChatGPT Atlas’ın “ajan modu” olarak adlandırılan özelliği sayesinde yapay zekâ, kullanıcı yerine belirli görevleri gerçekleştirebiliyor. Ancak OpenAI’a göre bu özellik aynı zamanda güvenlik açısından daha geniş bir tehdit yüzeyine kapı aralıyor. Saldırganlar, görünürde zararsız web sayfaları ya da e-postaların içine gizlenmiş talimatlar aracılığıyla yapay zekâyı manipüle edebiliyor. Bu durum, yapay zekâ destekli sistemlerin internet ortamında güvenli bir şekilde çalışmasının ne ölçüde mümkün olduğu konusunda yeni tartışmaları beraberinde getiriyor.
OpenAI saldırıların etkilerini azaltmaya ve riskleri sınırlamaya odaklanıyor
OpenAI’ın yaklaşımı, prompt enjeksiyon saldırılarına karşı tamamen koruma sağlamak yerine, bu saldırıların etkilerini azaltmak ve hızlı yanıt sistemleriyle riskleri sınırlamak üzerine kurulu. Şirketin geliştirdiği yeni güvenlik yaklaşımında dikkat çeken unsurlardan biri, “otomatik saldırgan” adlı özel bir yapay zekâ modelinin kullanılması. Bu model, takviyeli öğrenme (reinforcement learning) yöntemiyle eğitilerek, potansiyel saldırı senaryolarını simülasyon ortamında test ediyor ve ajanların bu saldırılara nasıl tepki vereceğini analiz ediyor.
Bu otomatik sistem sayesinde, daha önce hem insan denetiminde hem de dış kaynaklı güvenlik testlerinde tespit edilemeyen yeni saldırı yöntemleri keşfedilebiliyor. OpenAI’ın paylaştığı örneklerden birinde, e-posta kutusuna gizlice yerleştirilen zararlı bir mesaj, ajan modunun kontrol ettiği yapay zekâ tarafından okunuyor ve kullanıcı için otomatik olarak bir istifa mektubu gönderiliyor. Ancak yeni güvenlik önlemleriyle birlikte bu saldırı tespit edilip engellenebiliyor. Buna rağmen, sistemin tamamen bağışıklık kazanması beklenmiyor.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) de bu görüşü destekliyor. Kurum, bu ay başında yayınladığı raporda, üretici yapay zekâ sistemlerine yönelik prompt enjeksiyon saldırılarının hiçbir zaman tam anlamıyla ortadan kaldırılamayacağını ifade etti. NCSC, güvenlik uzmanlarının bu saldırıları tamamen durdurmaya çalışmak yerine, riskleri azaltacak yöntemler geliştirmesi gerektiğini vurguladı.
Bununla birlikte, OpenAI’ın güvenlik stratejisi sektördeki diğer firmaların yaklaşımlarına benzer şekilde katmanlı koruma modellerine dayanıyor. Örneğin Google, ajan benzeri sistemlerde hem yapısal hem de politika düzeyinde kontrol mekanizmaları geliştirerek savunma yapısını güçlendirmeye çalışıyor. Anthropic de benzer şekilde, sistemlerini düzenli testlere tabi tutarak güvenliği artırmaya çalışıyor.
Siber güvenlik şirketi Wiz’in baş araştırmacısı Rami McCarthy’ye göre, yapay zekâ sistemlerindeki riskleri değerlendirmenin en sağlıklı yolu, sistemin sahip olduğu otonomi düzeyiyle erişim yetkisini çarpmak. McCarthy, yapay zekâ destekli tarayıcıların, hem orta düzeyde otonomiye hem de oldukça yüksek erişim haklarına sahip olmaları nedeniyle, güvenlik açısından hassas bir noktada bulunduğuna dikkat çekiyor. Bu yüzden, sistemin kullanıcıdan mesaj gönderme ya da ödeme yapma gibi kritik işlemler için onay almasını şart koşmak gibi önlemler öneriliyor.
OpenAI ise kullanıcıların ajanlara mümkün olduğunca sınırlı görevler vermesini, örneğin doğrudan e-posta kutusuna erişim tanımak yerine belirli görevler için açık talimatlar sağlamasını öneriyor. Şirket, bu sayede gizli ya da zararlı içeriklerin ajan davranışını etkileme riskinin azaltılabileceğini savunuyor.
Her ne kadar OpenAI, ChatGPT Atlas tarayıcısını mümkün olduğunca güvenli hale getirmeye çalışsa da, McCarthy gibi uzmanlar, bu tür tarayıcıların şu anki risk-getiri dengesinin kullanıcılar açısından tartışmalı olduğunu düşünüyor. Yapay zekâ tarayıcılarının sunduğu erişim kolaylıkları güçlü olsa da, bu erişimin getirdiği güvenlik açıkları henüz kullanıcılar için yeterince karşılık bulmuş değil. Geliştirme süreci ilerledikçe bu dengenin zamanla değişmesi bekleniyor.
