Yamasız Kritik Güvenlik Açıkları Yapay Zeka Modellerini Devralmaya Açıyor - Dünyadan Güncel Teknoloji Haberleri

Yamasız Kritik Güvenlik Açıkları Yapay Zeka Modellerini Devralmaya Açıyor - Dünyadan Güncel Teknoloji Haberleri

Ama aynı zamanda onlara ağın geri kalanına açılan bir kapı da açabilirler, diyor Koruma AI’nın baş mimarı Sean Morgan Bazıları yamalı olarak kalıyor Örneğin, sunucunun ele geçirilmesi ve düşük kodlu yapay zeka hizmetlerinden kimlik bilgilerinin çalınması, ilk erişim için iki olasılıktır ”

HackerOne’ın kıdemli çözüm mimarı Dane Sherrets, insanların ChatGPT gibi yapay zeka sistemleriyle yaşadığı doğal dil etkileşimlerini destekleyen altyapıya karşı yeni istismarlarla mücadele etmenin daha da etkili olacağını söylüyor DeğilYazılım bakımcılarına ve satıcılarına güvenlik açıkları hakkında bilgi vererek, sorunları düzeltmeleri için onlara 45 gün süre tanıdı

MMakine öğrenimi güvenlik şirketi Koruma AI, yapay zekaya özgü hata giderme programı Huntr’ın bir parçası olarak sonuçları 16 Kasım’da açıkladı “Eğitim verilerinin zehirlenmesi gibi AI güvenlik açıkları da önemli bir dalgalanma etkisine sahip olabilir ve bu da hatalı veya kötü niyetli çıktıların geniş çapta yayılmasına yol açabilir Makine öğrenimi modellerinin dağıtılmış eğitiminde kullanılan Ray; Bir makine öğrenimi yaşam döngüsü platformu olan MLflow; ModelDBbir makine öğrenimi yönetim platformu; Ve H20 sürüm 3Java tabanlı makine öğrenimi için açık kaynaklı bir platform

Ancak ProtectAI’nin hata açıklamaları, makine öğrenimi süreçlerini ve yapay zeka operasyonlarını destekleyen araçların ve altyapının da hedef haline gelebileceğinin altını çiziyor

Risk teorik değil: Büyük şirketler, yararlı yapay zeka modelleri bulmak ve bunları pazarlarına ve operasyonlarına uygulamak için halihazırda agresif kampanyalara giriştiler

Koruma AI’nın başkanı ve kurucu ortağı Daryan Dehghanpisheh, bu AI sistemlerinde güvenlik açıklarının bulunması altyapının tehlikeye atılmasına yol açsa da, fikri mülkiyetin çalınmasının da büyük bir hedef olduğunu söylüyor İşletmeler sıklıkla bilgi güvenliği gruplarına danışmadan yapay zeka tabanlı araçları ve iş akışlarını benimsedi ”



siber-1

“Bir modeli eğitmek için günlük olarak ne kadar para harcandığını ve bir milyar parametreden ve daha fazlasından, dolayısıyla çok fazla yatırımdan, yalnızca kolayca tehlikeye atılan veya çalınan saf sermayeden bahsederken ne kadar para harcandığını bir düşünün

“Diğer sektörlerde geliştikçe gördüğümüz şeyin aynısını yapay zekada da görüyoruz” diyor

Örneğin, Trend Micro’nun Zero Day Initiative’i, AI/ML araçlarında hata bulma konusunda henüz önemli bir talep görmedi, ancak grup, sektörün araştırmacıların bulmasını istediği güvenlik açıkları türlerinde düzenli değişiklikler gördü ve muhtemelen bir AI odağı gelecek “Ama yaptığımız şeyler [cybersecurity professionals] Geleneksel veri merkezleri için bunu yapıyor olmanız sizi bulutta güvende tutmayabilir ve bunun tersi de geçerlidir ”

Yapay Zeka Altyapısı Güvenliği: Çoğunlukla Gözden Kaçırılıyor

ChatGPT’nin bir yıl önce piyasaya sürülmesinin ardından, yapay zekaya dayalı teknolojiler ve hizmetler, özellikle de üretken yapay zeka (GenAI) yükselişe geçti

“Çıkarım sunucuları, kullanıcıların ML modellerini kullanabilmesi için erişilebilir uç noktalara sahip olabilir [remotely], ancak birisinin ağına girmenin birçok yolu var” diyor

Sorunların her birine bir CVE tanımlayıcısı atandı ve sorunların çoğu düzeltilse de diğerleri yama yapılmadan kaldı; bu durumda, Koruma AI, şu adreste bir geçici çözüm önerdi: onun tavsiyesi

“Endüstriyel casusluk büyük bir bileşendir ve yapay zeka ve makine öğrenimi savaşında modeller çok değerli bir fikri mülkiyet varlığıdır” diyor Bunun ardından yapay zeka ve makine öğrenimi sistemlerini ve bunların operasyonlarını hedef alabilecek çeşitli düşmanca saldırılar geliştirildi Çünkü siber suçlular bu tür güvenlik açıklarını tetikleyebildiğinde yapay zeka sistemlerinin verimliliği, etkiyi çok daha büyük hale getirecek ”

Protect AI, farklı makine öğrenimi platformları için binlerce araştırmacının güvenlik açığı bildirimlerini talep etmek amacıyla Huntr adlı hata ödül platformunu kullandı, ancak şu ana kadar bu sektördeki hata avcılığı henüz emekleme aşamasında

Etkilenen platformlar, büyük dil modellerini (LLM) ve diğer makine öğrenimi platformlarını ve yapay zekaları barındırmak, dağıtmak ve paylaşmak için kullanılıyor H20 platformundaki başka bir sorun (yine düzeltildi), kodun bir AI modelinin içe aktarılması yoluyla yürütülmesine izin veriyor “İlk başta, işlevsellik eklemek amacıyla güvenliğe öncelik verilmedi ” Dehghanpisheh, bir tür ‘gölge yığınları’ oluşturacaklarını veya sahip oldukları mevcut güvenlik yeteneklerinin onları güvende tutabileceğini varsayacaklarını” söylüyor Artık belirli bir kabul düzeyine ulaşıldığında, insanlar güvenlikle ilgili sonuçları sormaya başlıyor “Hedeflediğimiz bu makine öğrenimi sistemleri [with the bug-bounty program] çoğu zaman yükseltilmiş ayrıcalıklara sahiptir ve bu nedenle, birisi ağınıza girebiliyorsa, bu ayrıcalıkların hızlı bir şekilde çok hassas bir sisteme aktarılamaması çok önemlidir



Araştırmacılar, yapay zeka modellerinin kullandığı altyapıda, şirketleri yapay zekadan yararlanmak için yarışırken risk altında bırakabilecek neredeyse bir düzine kritik güvenlik açığı (artı üç yüksek ve iki orta şiddette hata) tespit etti

“Herhangi bir yüksek teknoloji yutturmaca döngüsünde olduğu gibi, insanlar sistemleri dağıtacak, uygulamalar yayınlayacak ve iş ve pazarın ihtiyaçlarını karşılamak için yeni deneyimler yaratacaklar ve çoğu zaman ya güvenliği ihmal edecekler ve bunları yaratacaklar ”

Örneğin, Ray dağıtılmış öğrenme platformunun API’sindeki kritik bir yerel dosya ekleme sorunu (artık yamalı), bir saldırganın sistemdeki herhangi bir dosyayı okumasına olanak tanıyor Örneğin 15 Kasım’da yapay zeka güvenlik firması Adversa AI
GPT tabanlı sistemlere yönelik bir dizi saldırıyı açıkladı sistemin erişebildiği API’lerin anında sızdırılması ve numaralandırılması dahil

Bu saldırılar “sistemin hassas veya gizli verileri yaymasına neden olabilir veya kötü niyetli aktörün sistemin arka ucuna erişmesine yardımcı olabilir” diyor Bankalar, örneğin ipotek işlemleri ve kara para aklamanın önlenmesi için halihazırda makine öğrenimini ve yapay zekayı kullanıyor Trend Micro’nun Sıfır Gün Girişimi Tehdit Farkındalığı Başkanı Dustin Childs, yakında bunun mümkün olacağını söylüyor Ancak bu durum değişmek üzere olabilir

Yapay Zeka Hataları Kuruluşlar İçin Yüksek Risk Oluşturuyor

Koruma AI’ya göre, AI sistemlerindeki güvenlik açıkları, saldırganların AI modellerine yetkisiz erişimini sağlayarak, modelleri kendi hedefleri için seçmelerine olanak tanıyor