Yapay zeka geniş ilgi gördü ve çok sayıda fayda sunuyor. Ancak hızla gelişmesi ve yaygınlaşması, özellikle siber güvenlikle ilgilenen bizler için endişeleri artırıyor. Bu kadar ilgi karşısında, pek çok güvensiz uygulama cihazlarımıza ve diğer uç noktalara ulaşıyor ve “kötü adamların” verilerimizi çalması için daha fazla yol açıyor.
Açık kaynak topluluklarında geliştirilen uygulamalar, ücretsiz olmaları, yaygın olarak kullanılabilir olmaları, gönüllüler tarafından desteklenmeleri ve diğer hususlar nedeniyle sıklıkla daha önemli güvenlik sorunlarıyla karşı karşıya kalır. Büyük bir açık kaynaklı yapay zeka projesinin güvenliği henüz ihlal edilmemiş olsa bile, bunun gerçekleşmesi yalnızca an meselesi.
Öyleyse açık kaynak yapay zeka güvenliğinin neden eksik olduğunu ve güvenlik profesyonellerinin bunu geliştirmek için neler yapabileceğini keşfedelim.
Geleceğe dönüş: Yapay zeka bir yazılımdır
Öncelikle yapay zekanın yazılımdan farklı bir şey olmadığını kabul etmek önemlidir; bu bir yazılımdır. Bu haliyle BT sistemlerinin işleyişinin ve dolayısıyla yazılım tedarik zincirinin bir parçasıdır. Yapay zekaya diğer herhangi bir kod parçası veya eserle aynı şekilde davranılmalıdır.
Aynı derecede önemli, yazılım tedarik zinciri güvenliği yalnızca web uygulamaları, komut satırı araçları veya yazılım denildiğinde sıklıkla akla gelen diğer şeylerle ilgili değildir. Kuruluşlar yazılım geliştirirken, dağıtırken ve dağıtırken her bileşeni ve süreci korur. Bunu, sistem dağıtım yaşam döngüsüne (SDLC) uygulanan siber güvenlik olarak düşünebilirsiniz. Kodlama ve derlemeden üretim, dağıtım ve bakıma kadar yazılım geliştirmenin her aşaması söz konusudur ve güvenli olması gerekir.
Yapay zeka yazılımı tedarik zincirinde ne ters gidebilir?
Yapay zeka tedarik zincirindeki zorluklar, daha geniş yazılım tedarik zincirindeki zorlukları yansıtıyor ve entegrasyon sırasında daha fazla karmaşıklık ortaya çıkıyor büyük dil modelleri (LLM’ler) veya makine öğrenimi (ML) modellerinin organizasyonel çerçevelere yerleştirilmesi.
Örneğin, bir finans kurumunun kredi riski değerlendirmesi için yapay zeka modellerinden yararlanmaya çalıştığı bir senaryoyu düşünün. Bu uygulama, kredi onay süreçlerinde korunan kategorilerin yasaklanması gibi düzenleyici standartlara uygunluğu sağlamak için yapay zeka modelinin yazılım tedarik zincirinin ve eğitim veri kaynaklarının titizlikle incelenmesini gerektirir.
Örnek olarak bir bankanın yapay zeka modellerini kredi riski değerlendirme prosedürlerine nasıl entegre ettiğini inceleyelim. Düzenlemeler, kredi onay kriterlerine sıkı sıkıya bağlı kalmayı zorunlu kılıyor; ırk, cinsiyet, ulusal köken ve diğer demografik özelliklerin belirleyici faktörler olarak kullanılmasını yasaklıyor. Bu nedenle bankanın, yasal veya düzenleyici zorluklara yol açabilecek önyargıları önlemek için yapay zeka modelinin yazılım ve eğitim verileri tedarik zincirini dikkate alması ve değerlendirmesi gerekir.
Bu sorun bireysel kuruluşların ötesine uzanıyor. Daha geniş yapay zeka teknolojisi ekosistemi endişe verici trendlerle karşı karşıyadır. Son araştırmalar, açık kaynaklı yapay zeka yazılım araçlarının güvenlik durumu ile popülerlikleri arasında ters bir ilişki olduğunu gösteriyor. Basitçe söylemek gerekirse, açık kaynaklı bir yapay zeka aracı veya modeli ne kadar geniş çapta benimsenirse, sahip olabileceği güvenlik açıkları da o kadar büyük olur.
Ayrıca potansiyel olarak yasa dışı veya etik olmayan veriler üzerinde eğitilen açık kaynaklı yapay zeka modellerinin yaygınlığı, kullanıcılar için önemli yasal ve düzenleyici riskler oluşturmaktadır. Bu açıklama, yapay zeka tedarik zincirinde güvenli ve emniyetli kullanımı garanti etmek için gelişmiş önlemlerin alınması zorunluluğunu vurguluyor. Yapay zekanın geleceği umut verici olsa da, bu zorlukların ele alınması, yapay zekanın sorumlu bir şekilde benimsenmesi ve sürdürülebilir başarısı açısından çok önemlidir.
Güvenlik profesyonelleri neler yapabilir?
Açık kaynağın güvenliğini sağlamak, aşağıdakiler de dahil olmak üzere birden fazla yola odaklanmayı gerektirir:
- Güvenlik özellikleri: Yazılım Malzeme Listesi (SBOM’lar), SLSA (Yazılım Eserleri için Tedarik Zinciri Seviyeleri) ve SARIF (Statik Analiz Sonuçları Değişim Formatı) gibi temel güvenlik meta verilerini talep ederek açık kaynak topluluğu içinde daha fazla şeffaflık ve hesap verebilirliği savunun.
- Açık kaynaklı güvenlik araçları: Allstar, GUAC gibi güvenlik projelerine destek sunan şirketlerle işbirliği yapın ve açık kaynak yeniliklerinden yararlanmaya devam ederken bazı sorumlulukları üstlenin.
- Açık kaynağa sektör katkıları ve finansman: Açık Kaynak Güvenliği Vakfı gibi destekleyici kuruluşlar çok önemlidir.
CISO’lar ve güvenlik ekipleri, güvenliğini sağlamak için kuruluşlarının ortamlarındaki yazılım hakkında bilgiye ihtiyaç duyar. CISO’lar bu bilgilerle ortamlarına entegre ettikleri yazılım bileşenleri hakkında bilinçli, risk bazlı kararlar alabilirler. Katkı veya yatırım olmaksızın güvenlik için gönüllü çabalara güvenmek sürdürülemez ve etkisizdir.
0 Yorumlar