BS Ekonomi Bağımsız Medyasını Destekleyin
Eğer abone iseniz giriş yapınız.
Jaxon, kötü amaçlı yazılım geliştiren bir programcı, hiçbir şeyin sınır tanımadığı sanal dünya Velora’da yaşıyor. Amacı, internet tarayıcısı Google Chrome’dan şifreleri çalacak bir zararlı yazılım geliştirmek. Bu, siber güvenlik firması Cato Networks’te yapay zekâ tehditlerini araştıran Vitaly Simonovich’in ChatGPT’ye anlattığı bir hikâyenin temelini oluşturuyor. Simonovich’in amacı, AI’nin sınırlarını test etmekti. ChatGPT, oyuna hevesle katıldı ve mükemmel olmayan bir kod parçası sundu; ardından hataları gidermesine yardımcı oldu. Altı saat içinde Simonovich, ChatGPT ile birlikte çalışan bir zararlı yazılım geliştirmişti. Bu, onun “jailbreak” yönteminin (yapay zekâ güvenlik önlemlerini aşma yolu) ne kadar etkili olduğunu gösterdi.
Check Point adlı bir başka siber güvenlik firmasından Gil Messing’e göre, yapay zekâ “hacker’ların erişim alanını genişletti”; böylece daha az çabayla daha çok hedefe ulaşabiliyorlar. 2022’de ChatGPT’nin piyasaya çıkışı bir dönüm noktası oldu. Zeki üretken yapay zekâ modelleri, suçluların artık pahalı hacker ekiplerine ve ekipmanlara büyük paralar harcamasını gereksiz kıldı. Bu, çoğu firma için felaket bir gelişme olurken, siber güvenlik sektörü için işlerin daha iyiye gitmesini sağladı.
Yeni teknoloji siber güvenlik tehditlerini iki ana yönden ağırlaştırdı. İlk olarak, hacker’lar büyük dil modellerini (LLM) kötü amaçlı yazılımların kapsamını genişletmek için kullanmaya başladı. Deepfake üretmek, sahte e-postalar göndermek ve insan davranışlarını manipüle eden sosyal mühendislik saldırıları düzenlemek artık çok daha kolay ve hızlı. Suçluların tasarladığı XanthoroxAI adlı model, ayda yalnızca 150 dolara deepfake üretmek de dahil birçok yasa dışı iş için kullanılabiliyor. Hacker’lar, LLM’lerden yararlanarak internet ve sosyal medyadan tonlarca veri toplayıp geniş ölçekli oltalama (phishing) saldırıları düzenleyebiliyor. Daha kişiselleştirilmiş spearphishing saldırılarında ise sahte ses ve video aramalarıyla çalışanları kandırıp tehlikeli yazılımlar indirtmeye ikna edebiliyorlar.
İkinci olarak, yapay zekâ kötü amaçlı yazılımların kendisini de daha tehditkâr hale getirdi. Örneğin PDF dosyası kılığına giren bir yazılım, ağa sızmak için gömülü kodlarla yapay zekâ desteğini kullanabiliyor. Temmuz ayında Ukrayna’nın güvenlik ve savunma sistemlerine yapılan saldırılarda bu yöntem uygulandı. Zararlı yazılım, engelle karşılaştığında buluttaki bir LLM’den yardım isteyerek yeni kod ürettirdi ve savunmaları aşmaya çalıştı. Ne kadar zarar verildiği belirsiz olsa da, Simonovich bunun ilk örnek olduğunu söylüyor.
Şirketler için artan tehdit hem korkutucu hem de potansiyel olarak maliyetli. IBM’e göre geçen yıl yaşanan veri ihlallerinin altıda birinde yapay zekâ rol oynadı. İş e-postalarını hedef alan oltalama saldırılarının ise beşte ikisi yapay zekâ tarafından yönlendirildi. Danışmanlık şirketi Deloitte, üretken yapay zekânın 2023’te 12 milyar dolardan 2027’de 40 milyar dolarlık dolandırıcılığı mümkün kılabileceğini öngörüyor.
AI saldırılarının maliyeti artarken, bunlara karşı koruma işinin de yükseldiği görülüyor. Araştırma şirketi Gartner, şirketlerin siber güvenlik harcamalarının 2024–2026 arasında dörtte bir oranında artarak 240 milyar dolara çıkacağını tahmin ediyor. Bu, Nasdaq CTA Siber Güvenlik endeksinde izlenen şirketlerin hisselerinin son bir yılda dörtte bir değer kazanmasını açıklıyor; bu da genel Nasdaq endeksinden daha iyi bir performans. 18 Ağustos’ta Palo Alto Networks’ün CEO’su Nikesh Arora, üretken yapay zekâ kaynaklı veri güvenliği olaylarının geçen yıla göre “iki kattan fazla arttığını” ve işletme kârlarının yıllık bazda neredeyse ikiye katlandığını duyurdu.
Artan müşteri beklentileri, siber güvenlik şirketlerini satın alma yarışına soktu. 30 Temmuz’da Palo Alto Networks, kimlik güvenliği firması CyberArk’ı 25 milyar dolara satın alacağını açıkladı. Aynı ay içinde, AI sistemlerini güvence altına alan Protect AI’yi 700 milyon dolara aldı. 5 Ağustos’ta rakip firma SentinelOne, AI benimseyen şirketleri koruyan yazılımlar geliştiren Prompt Security’yi 250 milyon dolara satın alacağını duyurdu.
Bulut bilişim kolları hızla büyüyen teknoloji devleri de siber güvenlik alanını güçlendiriyor. Microsoft, 2021’de kimlik güvenliği platformu CloudKnox’u satın aldı ve işletmelere güvenlik açıklarını tespit etmekten veri korumaya, tehdit izlemeye kadar birçok işlev sunan Defender for Cloud adlı uygulamasını geliştirdi. Google ise Big Sleep adını verdiği, müşteriler için siber saldırıları ve güvenlik açıklarını gerçekleşmeden tespit eden sistemini devreye aldı. Mart ayında 32 milyar dolara siber güvenlik girişimi Wiz’i satın aldı.
Rekabet ve konsolidasyon, çevik yapay zekâ destekli siber suçlulara karşı koyabilecek güçlü şirketler yaratabilir. Ancak en hızlı ve gösterişli LLM’leri geliştirme yarışında, güvenlik büyük ihtimalle teknolojik sınırları zorlamanın gerisinde kalacak. Jaxon’a ayak uydurmak kolay olmayacak.
