Yapay zeka teknolojilerinin küresel çapta yaygınlaşması; enerji krizleri ve su kaynaklarının tükenmesi gibi çevresel sorunları beraberinde getirdi. Ancak dijital güvenliği sarsan çok daha büyük bir kriz de kapıda bekliyor.
Google tarafından yayınlanan siber güvenlik raporları, yapay zekanın bilgisayar korsanları için nasıl bir silaha dönüştüğünü gözler önüne serdi. Bunun en net örneği, Anthropic şirketinin geçtiğimiz aylarda tanıttığı Claude Mythos modelinde görüldü. Gelişmiş yapay zeka ajanının; Windows, Linux, Chrome ve Firefox gibi popüler sistemlerde daha önce keşfedilmemiş binlerce güvenlik açığını saniyeler içinde bulabildiği duyuruldu. Bu durum, siber dünyadaki yıkıcı potansiyeli kanıtlarken korkulan senaryo çok geçmeden gerçeğe dönüştü.
OALABS Research tarafından paylaşılan bir vaka analizi, hiçbir siber güvenlik geçmişi olmayan amatör bir kullanıcının, yapay zeka yardımıyla nasıl büyük bir siber suçluya dönüştüğünü ortaya koydu. Saldırı sürecindeki kodlamaları, sızma işlemlerini ve teknik detayları kullanıcının kendisi değil, tamamen Claude ve Codex gibi yapay zeka ajanları yürüttü. Süreç, bu kişinin başkalarına ait sunucuları ele geçirip buralara yapay zeka kopyalarını yerleştirmesiyle başladı. Ele geçirilen bir sunucu sahibinin durumu fark etmesi üzerine, korsanın yapay zekaya verdiği tüm komut geçmişi açığa çıktı.
Sistem kayıtlarını inceleyen uzmanlar, bu operasyonun arkasında Etiyopya'da yaşayan genç bir adamın olduğunu saptadı. Korsanın kimliği, siber yeteneğinden değil, hack eylemlerine başlamadan hemen önce aynı yapay zekaya kendi özgeçmişini düzenletmesi sayesinde tespit edildi. Yapay zekaya verdiği komutların imla hatalarıyla dolu olması ve sadece "şurayı tara" gibi basit talimatlardan oluşması, bu kişinin hiçbir uzmanlığının olmadığını net şekilde kanıtlıyor.
Buna rağmen genç bilgisayar korsanı, yapay zekanın ürettiği hazır kodlar sayesinde pek çok kişisel sunucuyu ele geçirdi, en az 14 şirketin gizli verilerine erişti ve tek bir hamlede 4 milyon dolarlık kripto parayı çalmaya yeltendi. Her ne kadar para çalma girişimi başarısızlıkla sonuçlansa da ulaşılan bu zarar boyutu yapay zekanın tehlikeli gücünü gösteriyor.
Basit kelime oyunlarıyla yıkılan güvenlik duvarları
Anthropic gibi teknoloji devleri, yazılım geliştiren akıllı ajanların ne kadar büyük riskler barındırdığının farkında olduklarını her fırsatta dile getiriyor. Şirket, tehlikeli siber güvenlik komutlarını otomatik olarak daha kısıtlı ve güvenli olan Claude Opus modeline yönlendiren bariyerler kullanıyor. Ancak yaşanan bu olayda korsan, tüm eylemlerini zaten bu temel güvenlik duvarlarına sahip olan Claude Opus üzerinden gerçekleştirmeyi başardı.
Yapay zekanın kötü niyetli komutları reddeden kendi iç filtreleri var. Fakat Etiyopyalı genç, bu filtreleri oldukça basit bir kelime oyunuyla devre dışı bıraktı. Yapay zekaya kendisinin bir "red team" (yasal siber güvenlik ekibi) üyesi olduğunu ve siber açıklar üzerine yasal araştırmalar yaptığını söyledi. Bu sahte senaryoya tamamen inanan yapay zeka ajanı, filtreleri kaldırmakla kalmadı; hedef alınan şirketlerden ne kadar finansal kazanç elde edilebileceğine dair mali tahmin raporları bile hazırladı.
Hatta Claude; gizli verilerin satılması, şantaj ve doğrudan hırsızlık gibi yöntemlerle bu paranın nasıl tahsil edileceğine dair bir yol haritası çizerek korsana rehberlik etti. Yapay zekanın bu süreçte reddettiği tek bir komut oldu: Korsan, belirli bir şahsın ve ailesinin kişisel dijital hesaplarındaki verileri çalmasını istediğinde, yapay zeka yasal ekiplerin şahısları hedef alamayacağını belirterek bu talebe engel oldu.
Bugün internete bağlı olan herkesin erişebildiği yapay zeka araçları, büyük siber suç dalgalarının önünü açıyor. Sıfır teknik bilgiye sahip bir insanın bu seviyede bir hasar yaratabilmesi, dijital dünyanın geleceğini tehdit ediyor.
Şu anki en büyük çıkmaz, yapay zekayı sistemleri güçlendirmek için kullanan iyi niyetli araştırmacılar ile sistemleri yıkmak isteyen kötü niyetli aktörleri ayırt edebilecek kesin bir filtrenin bulunmaması. Modelleri tamamen kısıtlamak siber savunma endüstrisini felç etme riski taşırken, mevcut serbestliği korumak siber alanda yıkıcı sonuçlar doğurabilir. İnsanların bile ayırt etmekte zorlandığı "kötü niyet" kavramını yapay zekaya öğretmek şimdilik mümkün görünmediği için, OpenAI ve Anthropic gibi teknoloji devleri bu büyük güvenlik açığı karşısında çözümler aramaya devam ediyor.