Yapay zeka ilk küresel siber saldırısına mı öncülük etti? Antropik alarm veriyor

San Francisco merkezli yapay zeka firması Anthropic, ağırlıklı olarak yapay zeka tarafından gerçekleştirilen ilk büyük ölçekli siber saldırı olarak tanımladığı saldırıyı ortaya çıkardı.

Eylül ortasında ortaya çıkan olay, yapay zeka araçlarının yalnızca siber saldırıları desteklemekle kalmayıp bunları doğrudan gerçekleştirmesiyle dijital tehditlerin doğasında bir değişime işaret ediyor.

Claude sohbet robotunu işleten ve 183 milyar dolarlık piyasa değerine sahip olan Anthropic, ihlalin ayrıntılarını bir blog yazısında yayınladı.

Firma, büyük teknoloji firmaları, finansal hizmetler, kimya şirketleri ve devlet kurumları da dahil olmak üzere yaklaşık 30 küresel kuruluşu hedef alan son derece karmaşık bir casusluk operasyonu olarak adlandırdığı operasyonu tespit ettiğini bildirdi.

Şirket, olayı ilk olarak X'teki bir gönderide açıkladı ve bunun "yapay zeka ajanları çağında siber güvenlik açısından önemli etkileri olduğu" uyarısında bulundu.

Claude nasıl kullanıldı?

Saldırganların meşru testler yürüten bir siber güvenlik firması kılığına girdikleri bildirildi.

Bu strateji, Claude'un yerleşik güvenlik sistemlerini, yüzeyde zararsız görünen istemlerle besleyerek atlatmalarına olanak tanıdı.

Bu kısıtlamalar aşıldığında, Claude's Code özelliğini jailbreak yaptılar ve amaçlanan kapsamın çok ötesinde yeteneklere erişim elde ettiler.

Bu kontroller devre dışı bırakıldığında, sohbet robotuna dijital altyapıyı incelemesi, kritik veritabanlarını bulması, özel istismar kodu yazması, erişim kimlik bilgilerini toplaması ve çalınan bilgileri düzenlemesi talimatı verildi.

Operasyon, Claude'un her biri bağlamdan yoksun küçük parçalara bölünmüş görevler alacağı şekilde yapılandırılmıştı.

Bu, genel kötü niyetli hedefi tanımlamasını engelledi.

Arkasındaki devlet grubu

Anthropic, saldırganların Çin devlet destekli bir bilgisayar korsanlığı grubuyla bağlantılı olduğunu büyük bir güvenle belirtti.

Kampanya, yapay zekanın aracılık özelliklerinin nasıl silah haline getirilebileceğini gösterdi.

Claude, rehberlik veya tavsiye için bir araç olarak hareket etmek yerine, genellikle deneyimli bilgisayar korsanlığı ekiplerine ayrılan görevleri tamamlamak için özerk bir aracı olarak kullanıldı.

Yapay zeka zirvedeyken, çoğu hızlı bir şekilde art arda binlerce sistem sorgusu yaptı.

Anthropic, siber saldırıda gerçekleştirilen işin %80 ila %90'ının yapay zeka tarafından gerçekleştirildiğini tahmin ediyor.

Taleplerin hızı ve ölçeği, insan liderliğindeki bir ekibin aynı zaman diliminde başarabileceğinin çok ötesindeydi.

Chatbot her zaman mükemmel çalışmasa da, ara sıra kimlik bilgileri icat etse veya kamuya açık bilgileri gizli olarak karıştırsa da Anthropic, bu sınırlamaların ihlalin ciddiyetini azaltmak için çok az şey yaptığını belirtti.

Anthropic daha sonra ne yaptı?

Faaliyet tespit edilir edilmez Anthropic on günlük bir soruşturma başlattı.

Bu süre zarfında saldırganlarla bağlantılı hesapları yasakladı, etkilenen taraflarla iletişime geçti ve ilgili makamlarla çalıştı.

Şirket ayrıca dahili tespit sistemlerini geliştirdi ve gelecekte benzer tehditleri daha etkili bir şekilde işaretlemek için yeni sınıflandırıcılar tanıttı.

Anthropic o zamandan beri bu olayların ayrıntılarını siber güvenlik araştırmacıları ve sektör ortaklarıyla paylaşmayı taahhüt ederek başkalarının savunmalarını güçlendirmelerine yardımcı oldu.

Şirket, bulgularını yayınlayarak, aracı yapay zekadan nasıl yararlanılabileceğine ve tehdit ortamının nasıl geliştiğine dair fikir vermeyi umuyor.

Saldırılar kolaylaşıyor

Firma, tamamen otonom siber saldırıların günümüz teknolojisiyle sınırlı kaldığını kabul etse de kampanya, büyük ölçekli ihlalleri başlatmak için gereken maliyet ve uzmanlığın önemli ölçüde azaldığını ortaya çıkardı.

Doğru yönlendirmeler ve erişimle, daha az deneyimli gruplar artık bir zamanlar iyi kaynaklara sahip ulus devletlerle sınırlı olan gelişmiş saldırılar gerçekleştirebilir.

Anthropic, aracılı yapay zeka araçlarının tam bir bilgisayar korsanlığı ekibinin birçok işlevini yerine getirmek için zaten kullanılabileceği sonucuna vardı.

Bu sistemler hedefleri tarama, saldırı komut dosyaları yazma ve büyük veri kümelerini benzersiz hızlarda işleme kapasitesine sahiptir.

Gelişim devam ettikçe, insanların ve yapay zekanın siber güvenlikte başarabilecekleri arasındaki fark muhtemelen daha da daralacaktır.

Bu olay, dijital güvenlik açısından bir dönüm noktasıdır. Artık mesele sadece sistemleri insan bilgisayar korsanlarından korumak değil. Anthropic'in vakasının gösterdiği gibi, yapay zekanın kendisi artık saldırgan olabilir.