Siber güvenlik dünyası son haftalarda yeni bir araçla önlem almaya çalışıyor. Kağıt üzerinde, kontrol ve programlamanın çeşitli yönlerinde insanları geride bırakabiliyor. Bu durum düzenleyiciler ve finans dünyasında geniş bir tartışmaya yol açtı. Yapay zekayla uğraşan bir şirketin gün ışığına çıkardığı bir araç olduğunu söylemeye gerek bile yok. Anthropic'in Mythos'u yeni bir standart olarak kendini önerdi.
Birçok teknoloji devi Mythos'a erişim elde etti veya Mythos'a karşı dayanıklılığı güçlendirmek için tasarlanan Project Glasswing adlı bir girişim aracılığıyla ona erişim sağladı. Ancak tartışılan bir konudur. Küresel siber güvenlik için yıkıcı bir araç mı, yoksa aracın daha önce hiç görülmemiş yeteneklere sahip olduğunu söylemekte çıkarı olan Anthropic'in ustaca yarattığı bir efsane mi? Yapay Zeka, gerçeği propagandadan ayırmanın en zor ve acil testi olduğunu bir kez daha kanıtladı. Pazarlamadan gelen yenilik. Giderek zorlaşan bir görev. Kurumsal ve ulusal çıkarlar tarafından giderek sulandırılıyor. Bir uzmanın yardımıyla konuyu netleştirmeye çalıştık.
Mythos ve Project Glasswing'in kökenleri
Başından beri. Mythos, Anthropic'in en yeni modellerinden biridir. Tüm dünyada Claude olarak bilinen daha büyük yapay zeka sisteminin bir parçası olarak geliştirildi. Claude, yapay zeka asistanını (herkesin ücretsiz ve erişebildiği sohbet robotu) ve buna ek olarak şirketin model ailesini, OpenAI'nin ChatGPT'sinin ve Google'ın Gemini'sinin rakiplerini içeriyor. Anthropic tarafından Nisan ayı başlarında “Mythos Önizlemesi” olarak tanıtıldı. Araştırmacılar bir raporda Mythos'un “siber güvenlik görevlerinde şaşırtıcı derecede yetenekli” olduğunu kanıtladığını söyledi.
Aracın, kimsenin bilmediği, artık kimsenin hatırlamadığı, onlarca yıl önce yazılmış programlarda ve kodlarda gizlenmiş hataları bulabileceğini buldular. Bir insanın keşfetmesi imkansız olmasa da zordur. Ancak eğitimli bir yapay zeka değil. Anthropic, bunu Claude kullanıcılarına sunmak yerine Project Glasswing aracılığıyla 12 teknoloji şirketine erişim sağladı. “Dünyanın en kritik yazılımını güvence altına alma çabası” olarak ilan edilen bu ödül şu kişilere verildi: Amazon Web Services (bulut bilişim devi); Apple, Microsoft ve Google (cihaz üreticileri); Nvidia ve Broadcom (yonga üreticileri); Crowdstrike (Hatalı bir yazılım güncellemesinin neden olduğu Temmuz 2024'teki ciddi küresel elektrik kesintisiyle tanınır).
Savunma oligopolü riski
Peki neden erişimi birkaç devle sınırlayasınız ki? Neden bu seçici gizlilik? Italian Tech'e şöyle diyor: “Benim görüşüme göre, Project Glasswing hem büyük ölçekli suiistimallerin önlenmesine yönelik gerçek ihtiyacı hem de Anthropic'in (kendisini sektörde 'etik bir koruyucu' olarak konumlandırmayı amaçlayan) pazarlama stratejisini birleştiriyor.” Emanuele De LuciaMeridian Group'un siber güvenlik ve yapay zeka uzmanı ve CIO'su.
“Ancak siber güvenlik uygulamasında bu kapatma, tehlikeli bir savunma oligopolü oluşturma riski taşır. Küresel araştırmacı topluluğuna erişimin engellenmesi, karşı önlemlerin işbirliğine dayalı olarak geliştirilmesini ve altyapıların bağımsız olarak doğrulanmasını engeller. Rakipler kaçınılmaz olarak eşdeğer modeller geliştireceğinden, 'seçici gizlilik' yaygın savunmaların gelişimini geciktirir, yetenekleri birkaç kişinin elinde merkezileştirir ve pazarı açıkta bırakır. Ayrıca, erişimi ve istihbaratı birkaç büyük şirketin elindeki güvenlik açıkları üzerinde yoğunlaştırarak değerli bir stratejik hedef yaratılır. Glasswing ortağının dahili sistemlerine yönelik başarılı bir saldırı, yalnızca kendi verilerini değil, Mythos tarafından belirlenen küresel sıfır gün güvenlik açıklarının tamamını açığa çıkarabilir. Ayrıca, ortakların demokratik veya düzenleyici bir denetim olmaksızın tek taraflı olarak seçilmesi, benim görüşüme göre, kritik savunma araçlarına erişimin adilliği hakkında soru işaretleri yaratıyor” diye ekliyor.
Temsilci yetenekler ve “iskele”nin rolü
Hemen başka bir örtülü soruna yol açan gizlilik ve seçicilik. Çünkü buna karar verildiyse, görünen o ki Mythos'un BT güvenlik sorunlarının seviyesini daha önce hiç görülmemiş parametrelere çıkarmış olması nedeniyledir.
Böylece? De Lucia, “Yapısal olarak Mythos, gelişmiş aracı yetenekleri nedeniyle önceki modellerden farklı: GPT-4, halihazırda bilinen güvenlik açıklarından yararlanmak için kod oluşturmada başarılı olurken, Mythos daha önce görülmemiş kusurları (sözde 0 gün, ed.) bağımsız bir şekilde keşfedebiliyor ve çok aşamalı saldırıları birbirine zincirleyebiliyor” yorumunu yapıyor De Lucia. “Ancak, hedeflere yönelik saldırıları etkili bir şekilde otomatikleştirse de, karmaşık mimarilerden ödün vermek, yine de uzman bir insan araştırmacının veya operatörün stratejik gözetimini (yönlendirme adı verilen) gerektirir” diye ekliyor.
Yapay zeka
Big Tech'e (ve ABD'ye) benzeri görülmemiş bir güç verecek Antropik proje
kaydeden Andrea Monti
Ve son olarak, “Mythos'un yeteneklerinin gerçekte ne kadarının erişilemez 'süper zekasına' ve ne kadarının içinde çalıştığı iskeleye (yani destek sistemlerine, ed.) bağlı olduğu anlaşılmalıdır”. Çünkü mesaj şudur: “Bu tür bir sistemin değerinin büyük bir kısmı ekosisteme ve onun donatıldığı araçlara bağlıdır”.
Eski kod efsanesinin sonu
Anthropic, kritik yazılımlardan sorumlu 40'tan fazla kuruluşa Mythos'a erişim izni verdiğini söyledi. Anthropic CEO'su Dario Amodei, “bu modellerin risklerine karşı korunmaya yardımcı olmak” için ABD hükümet yetkilileriyle birlikte çalışmayı teklif ettiğini söyledi. Anthropic 7 Nisan'da şunları söyledi: “Mythos Preview halihazırda tüm önemli işletim sistemlerinde ve web tarayıcılarında bulunanlar da dahil olmak üzere binlerce yüksek önem dereceli güvenlik açığı buldu.”
Kendisi, modelin, eski sistemlere (27 yıldır var olan bir hata dahil) anında müdahale gerektiren kritik hataları -çok fazla gözetim olmadan- tespit edebildiğini ve bunları kullanmanın yollarını önerebileceğini söylüyor.
Bu keşif ne kadar ciddi? Bu arada, tarih mi belli? De Lucia şöyle devam ediyor: “Tarihsel güvenlik açıklarının keşfi, eski kodun 'zamanla test edilmiş' olması nedeniyle güvenli olduğu yanılsamasını bir şekilde yıkıyor ve Mythos'un statik analiz ve bulanıklaştırmayı otomatikleştirmede çok büyük ölçekte belirli bir üstünlüğünü doğruluyor”, diye devam ediyor De Lucia. “Ancak, 27 yıllık bir hatanın genellikle karmaşık bir tehdit değil, ihmal edilen kütüphanelerde gömülü önemsiz bir kusur olduğunu göz önünde bulundurmalıyız. Ancak siber güvenlik söz konusu olduğunda bu, geri dönüşü olmayan bir paradigma değişikliğini temsil edebilir: eski yazılımlarda CVE'lerin artışını öngörmek mümkündür, bu da sektörü yapay zeka odaklı kod iyileştirmeyi ve tamamen tasarım gereği güvenli mimarileri benimsemek için manuel reaktif yaklaşımı terk etmeye zorlar” diye ekliyor.
Heyecan, pazarlama ve silahlanma yarışları
Yapay zeka endişeleri yeni bir şey değil. Sektör, genellikle pazarlama stratejilerinin bir parçası olan korku ve heyecan karışımıyla karakterize edilir. Mythos örneğinde, bu korkuların haklı olup olmadığını veya bu endüstriye ve genel olarak teknoloji endüstrisine her zaman eşlik eden medya vurgusunu (genellikle abartılı olarak adlandırılan) yansıtıp yansıtmadığını anlamak için hala yeterince bilgimiz yok.
Uzman, “Risk anlatımının aynı zamanda ticari bir varlık olduğunun farkında olmalıyız; bana göre bir modeli 'serbest bırakılamayacak kadar tehlikeli' olarak tanımlamak, en azından kısmen, büyük yatırımları katalize etmek ve merkezileştirmek için yararlı bir pazarlama aracıdır” diye ekliyor. “Şirket, 'benzersiz bir güç' havası yaratarak kendisini etik bir lider olarak konumlandırıyor ve bağımsız teknik incelemeyi engelleyen kapalı ekosistemleri meşrulaştırıyor. Otonom yapay zekayla bağlantılı siber tehditler bugün zaten somut ve son derece tehlikeli olmasına rağmen, bu anlatı bilgi asimetrisini ticari bir varlığa dönüştürüyor: korku ve ayrıcalıktan para kazanılıyor, sistemin gerçek operasyonel sınırlamalarının kamuoyu tarafından reddedilmesi riski olmadan rekabet avantajı korunuyor.”
Ancak Mythos'un ortaya çıkışı ve ona eşlik eden proje pek çok korku yarattı. Bu durum, maliye bakanlarının ve merkez bankacılarının, modelin finansal sistemlerin güvenliğini zayıflatabileceği korkusuyla ciddi endişelerini dile getirmelerine yol açtı. Kıyamet etkilerinden korkuluyor. Ve onlardan hemen korkulur.
Siber güvenlik
Antropik, Claude Mythos'un kullanımını sınırlıyor: Programlamak için doğmuş yapay zeka, sistemleri kırmada çok iyidir
kaydeden Pier Luigi Pisa
“'Kıyamet benzeri olay' anlatısını açık sansasyonel abartı olarak nitelendiriyorum. Teknik gerçeklikte, gelişmiş modeller matematiksel olarak modern kriptografik standartları “kırmaz”, ancak uygulamadaki güvenlik açıklarından, yanlış yapılandırmalardan ve yardımcı vektörlerden yararlanmayı büyük ölçüde ölçeklendirir. Kendimizi simetrik bir algoritmik silahlanma yarışının şafağında buluyoruz: günümüzün geçici saldırı avantajı kaçınılmaz olarak kendi kendini onarabilen ve otonom olabilen proaktif, yapay zeka odaklı savunmaların geliştirilmesini ve benimsenmesini katalize edecek. Tehditlerin etkisiz hale getirilmesi, siber çatışmanın ekosistemler arasında makine hızında saf bir rekabete doğru taşınması”, diye bitiriyor De Lucia.
Bir yanıt yazın