Google duyurdu: Yapay zeka kullanan korsanlar bilgisayarlara girmeye çalıştı

Google, Pazartesi günü yayınladığı bir araştırmada, bir siber suçlu grubunun yakın zamanda yapay zekâ desteğiyle bazı yazılımlarda daha önce bilinmeyen bir açığı tespit etmeye çalıştığı ve bu nedenle geniş çaplı bir siber saldırı girişiminde bulunduğunu belirterek, yapay zekânın dijital güvenliğe yönelik potansiyel tehdidini vurguladı.

Güvenlik uzmanları, yıllardır kötü niyetli bilgisayar korsanlarının, bilgisayar kodundaki kusurları tespit etmek ve korunması zor, felç edici saldırılar başlatmak için yapay zekâ modellerine güvenebileceğinden endişe duyuyorlardı. Bu korku şimdiye kadar büyük ölçüde teorikti.

Google’ın raporunda, “Saldırganın bu güvenlik açığının keşfi için büyük olasılıkla bir yapay zekâ modelinden yararlandığına dair yüksek bir güvene sahibiz” denildi.

Teknoloji devi, engellenen saldırının tam olarak ne zaman gerçekleştiğini, kimi hedef aldığını veya bilgisayar korsanlarının hangi yapay zekâ platformunu kullandığını belirtmedi, ancak şirketin kendi Gemini chatbot’u olmadığına inandığını da ekledi.

The New York Times’daki habere göre, Google’ın araştırması, teknoloji endüstrisi ve Trump yönetimi de dahil olmak üzere hükümetlerin, özellikle siber güvenlik açısından ne anlama geldiklerine dair artan endişeler nedeniyle, gelişmiş yapay zekâ sürümlerini nasıl ve ne şekilde denetleyeceklerini yeniden değerlendirdiği bir dönemde geliyor.

Google ve hacker grubu tarafından tespit edilen gibi kusurlar, yazılım üreticileri tarafından bilinmeyen güvenlik açıkları olan “sıfır gün güvenlik açıkları” olarak adlandırılıyor. Bir zamanlar o kadar nadir ve güçlü kabul ediliyorlardı ki, hacking araçlarının satıldığı kara pazarlarda milyonlarca dolara alıcı bulabiliyorlardı.

Ancak geçen ay duyurulan Anthropic’in Mythos’u gibi yeni yapay zekâ modelleri, bu tür açıkları bulmada o kadar başarılı görünüyor ki, Anthropic bunu yalnızca Amerika Birleşik Devletleri ve İngiltere’deki sınırlı sayıda firma ve devlet kurumuyla paylaştı. Mythos duyurulduğunda, Anthropic, “her büyük işletim sisteminde ve her büyük web tarayıcısında” binlerce sıfır gün güvenlik açığı tespit ettiğini, bunların birçoğunun on yıllarca eski olduğunu söyledi.

Yapay zekâ modelleri siber güvenliği hızla alt üst ediyor. Geçtiğimiz yılın sonlarında Anthropic, devlet destekli Çinli bilgisayar korsanlarının, dünya çapında yaklaşık 30 şirket ve devlet kurumunun bilgisayar sistemlerine sızmak için teknolojilerini kullandığını açıklamıştı. Bu, yapay zekanın insan operatörlerden sınırlı yardım alarak hassas bilgiler topladığı ilk siber saldırı vakasıydı.

Sıfır gün açığı, Google Tehdit İstihbarat Grubu tarafından son birkaç ay içinde tespit edilmiş ve Python programlama diliyle yazılmış bir betikte “önde gelen siber suç tehdit aktörleri” tarafından istismar edilmişti. Şirket, bu açığın bilgisayar korsanlarının “popüler bir açık kaynaklı, web tabanlı sistem yönetim aracı”nda iki faktörlü kimlik doğrulamasını atlamasına olanak tanıyacağını, ancak başarılı olmak için kullanıcı adları ve şifreler gibi geçerli kimlik bilgilerine de erişmeleri gerektiğini belirtmişti.

Google, kullanılan yönetim aracını açıklamayı reddetti ancak saldırının zarar vermeden önce bir yama yayınlanmasına olanak sağlayacak kadar hızlı bir şekilde yazılım üreticisini bilgilendirdiğini söyledi. Ayrıca, bilgisayar korsanlarının kimliğini de açıklamadı.

Google ve bağımsız güvenlik araştırmacıları, bu saldırı girişiminin, çoğunlukla yapay zekâ tarafından desteklenen bilgisayar korsanları tarafından kötü amaçlı kullanılan sıfır gün açığının bilinen ilk örneği olduğunu söyledi.

Google Tehdit İstihbarat Grubu’nun baş analisti John Hultquist bir röportajda, “Bu, gelecekte olacakların bir ön gösterimi,” dedi. “Bunun buzdağının sadece görünen kısmı olduğuna inanıyoruz. Bu sorun muhtemelen çok daha büyük; bu sadece görebildiğimiz ilk somut kanıt.”

Ulusal Güvenlik Ajansı’nın eski siber güvenlik direktörü Rob Joyce, bilgisayar kodunun insan mı yoksa makine tarafından mı yazıldığını anlamanın zor olabileceğini belirterek, “Yapay zeka tarafından yazılan kod kendini belli etmez” dedi.

Ancak Google’ın, siber saldırıyı yapay zekâya bağlayan ipuçları -ki bunlar arasında insan kodlayıcıların eklemek için hiçbir nedeni olmayacak aşırı açıklayıcı metinler ve diğer tuhaflıklar yer alıyordu- oldukça ikna edici görünüyordu, diye belirtti bulguları kamuoyuna açıklamadan önce inceleyen Joyce. “Bu, olay yerindeki parmak izine en yakın şey,” dedi.

Hultquist, Google’ın siber saldırı kodunun yapay zekâ tarafından yazıldığı sonucunu destekleyen başka göstergelere de sahip olduğunu söyledi, ancak bunları tartışmaktan kaçındı.

Google tarafından duyurulan sıfır gün açığı, uzmanların sorunları önce giderebilmesi için en yeni yapay zekâ modellerinin kontrollü bir şekilde yayınlanması yönündeki uluslararası çağrıları güçlendirebilir.

Bazı uzmanlar, yapay zekânın uzun vadede kusursuz yazılım kodu üretimine izin vererek siber güvenliği güçlendireceğine inanıyor. Ancak kısa vadede, hükümetlerin ve şirketlerin, kusurlu insan elleriyle oluşturulmuş mevcut internete modellerin verebileceği zararı sınırlamak için birlikte çalışmaları gerektiğini söylüyorlar.

Hultquist, “En son teknolojiye sahip modeller, şimdiye kadar oluşturduğumuz en güvenli kodu oluşturmamıza olanak tanıyacak,” dedi. “Bu, siber güvenlik için mutlak bir kazanç. Zorluk şu ki, bu sürece henüz yeni başladık ve halihazırda var olan bir kod dünyasıyla başa çıkmak zorundayız.”