Güvenlikte yapay zekâdan daha fazlası var
Bu hızlı oldu. RSA Konferansı‘nın her deliğinden (liyakatli ya da liyakatsiz) yapay zekâ sızarken parlaklık hızla kayboldu. Yakın zamanda, büyük teknoloji firmaları tarafından satın alınma umudu ile ortaya çıkan ve olabildiğince kabartılan AI startup’ların deli gibi yaktıkları paranın sonuçları ile hesaplaşma vakitleri önünde sonunda gelecekti ve geldi.
Gerçekten büyük işler yapmak için gereken nakitten yoksun, sadece yedi ya da sekiz haneli rakamları harcayarak şımarıkça kendilerine ait bir LLM yarattıklarını iddia eden bir sürü girişim şimdi sudan ucuza satılıyor. Tam olarak satış da sayılmaz ama satış gibi görünen ve kokan bir şey.
Bu alanda konsolidasyona karşı artan federal baskıdan ve buna eşlik eden sıkı düzenlemelerden kaçınan büyük şirketler, yeni girişimlerin teknolojisini lisanslıyor (satın alma maliyeti gibi bir şey olması için) ve çalışanları kendileri çalıştırmak için işe alıyor. Ancak fazla para da ödemiyorlar. Sektör hızla bir işçi pazarı haline geldi.
Bu arada, yapay zekâ ve makine öğrenimini (ML) her zaman güvenlik çarkının sadece bir dişlisi olarak gördük. Önemli bir kol ama ne yazık ki sadece bir kol. Yeni başlayan güvenlik yapay zekâ teknolojisi tedarikçileri için meseleleri daha da karmaşık hale getiren CISA, ortaya çıkan yapay zekâ araçlarının federal siber operasyonlar için neler yapabileceğinden de etkilenmiş görünmüyor.
Güvenlik alanında yalnızca yapay zekâ satan startup’lar için tek bir şansı var: Ürünü, geri kalan parçalara zaten sahip olan birine satmak.
Zor olan sadece yapay zekâ güvenliği değil. Yarardan çok zarar getirmeyen güncellemeleri yayımlamak gibi sıkıcı eski güvenlik güvenilirliği sorunları da zor. Tanım gereği, güvenlik yazılımlarının yüzeyin derinliklerinde gerçekleşen “kötü şeyleri” izlemek için düşük seviyeli işletim sistemi kaynaklarına erişimi ve etkileşimi vardır.
Bu aynı zamanda aşırı endişeli bir güncellemenin bilgisayarınızın ya da bulutu oluşturan birçok bilgisayarın başına iş açabileceği anlamına gelir. Bu arada, teknoloji muazzam bir güç ve çeviklik sunsa da kötü aktörler sinsi bir istismarla küresel bir bulutu ele geçirerek bir dizi şirketi alaşağı edebilir.
Yapay zekâ güvenliğini kıyaslayın
Çiçeği burnunda sektörün raydan çıkmasına engel olmak için, LLM’ler için uygulanabilecek ölçütleri tanımlamak üzere sıkı bir çalışma yürüten bazı ekipler de var. Sahne şovlarından ziyade makul ve kullanılabilir bir referans üretmeye çalışıyorlar ve “şu anda neyin mümkün olup neyin mümkün olmadığına dair net bir resme sahip olmanın zor olduğu konusunda hemfikirler. Kanıta dayalı kararlar almak için, karar alma sürecini ampirik ölçümlere dayandırmak gerekiyor.” Biz de aynı fikirdeyiz ve çalışmalarını alkışlıyoruz.
Bunlar bir startup değiller, yani bir grup araştırmacıyı görevin gerektireceği zor ve sıkıcı işi yapacak kadar uzun süre bir arada tutmak için gereken önemli kaynaklara sahipler. Önceki versiyonlarında “otomatik istismar üretimi, güvensiz kod çıktıları, LLM’lerin siber saldırılara yardımcı olmayı kabul ettiği içerik riskleri ve hızlı enjeksiyon saldırılarına duyarlılık” gibi konular ele alınmıştı. En yeni sürüm ayrıca “otomatik sosyal mühendislik, manuel saldırgan siber operasyonların ölçeklendirilmesi ve otonom siber operasyonlar dahil olmak üzere saldırgan güvenlik yeteneklerine odaklanan yeni alanları” da kapsayacak. Ve bunu kamuya açık hale getirmişler, ne güzel. Bu, NIST gibi grupların geçmişte yardımcı olduğu ve sektör için bir nimet olan türden bir şey.
Gemi çoktan yola çıktı
Sadece iki mühendis ile yola çıkan bir startup’ın bir sonraki havalı LLM şeyini icat etmesi ve yakın gelecekte sekiz rakamlı havalı bir halka arz yapması zor olacak. Ancak yine de havalı bir şeyler yapan bir yapay zekâ güvenlik ürünü yaratmak ve ardından paranız suyunu çekmeden veya ekonomi patlamadan önce bunu büyük adamlara satmak mümkün.