Güvenlik araştırmacıları, kötü amaçlı yazılım yaymak ve veri çalmak için kişilerin e-postalarına sızabilen, kendini kopyalayabilen bir yapay zeka solucanı geliştirdi.
1988'deki ilk bilgisayar solucanına atfen Morris II diye adlandırılan bilgisayar solucanı, üretken yapay zekayla ilişkili risklerin altını çizmek amacıyla ABD ve İsrail'den uluslararası bir ekip tarafından oluşturuldu.
Solucan, OpenAI'ın ChatGPT'si ve Google'ın Gemini'ı gibi popüler araçları kullanan yapay zeka destekli uygulamaları hedef almak üzere tasarlandı. Zaten kişisel verileri çalmak ve spam kampanyaları başlatmak üzere üretken yapay zeka destekli e-posta asistanlarına karşı kullanıldığı kanıtlanmıştı.
Araştırmacılar, kurbanın kötü niyetli faaliyeti tetiklemek hatta yaymak için herhangi bir şeye tıklaması gerekmediğinden, solucanın yeni bir "sıfır tıklama kötü amaçlı yazılım" türünü temsil ettiğine dair uyardı. Bunlar, tıklama yerine üretken yapay zeka aracının otomatik işlemiyle gerçekleştiriliyor.
Araştırmacılar, "Çalışma, saldırganların girdilere bu tür komutları ekleyebileceğini ve bunlar üretken yapay zeka modelleri tarafından işlendiğinde, modelin girdiyi çıktı olarak çoğaltmasını (replikasyon) ve kötü amaçlı faaliyetlerde (payload) bulunmasını sağladığını gösteriyor" diye yazdı.
Ayrıca bu girdiler ajanı, üretken yapay zeka ekosistemi içindeki bağlantıyı kullanarak onları yeni ajanlara ulaştırmaya (yayılım) zorluyor.
Araştırma, "ComPromptMized: Üretken yapay zeka destekli uygulamaları hedefleyen sıfır tıklamalı solucanları serbest bırakma" (ComPromptMized: Unleashing zero-click worms that target GenAI-powered applications) başlıklı çalışmada detaylandırıldı.
2022'de ChatGPT'nin piyasaya sürülmesinden bu yana güvenlik araştırmacıları, bilgisayar korsanlarının ve siber suçluların saldırılar gerçekleştirmek için üretken yapay zeka teknolojisinin bazı unsurlarını kullanma potansiyeline dikkat çekiyor.
Bu teknolojinin insan tarafından üretilen metinleri gerçekçi bir şekilde taklit edebilme yeteneği, aynı dili konuşmayan kişilerin inandırıcı sahte e-postalar ve mesajlar oluşturmak için kullanabileceği anlamına geliyor.
Siber güvenlik firması CrowdStrike, geçen ay yayımladığı yıllık Küresel Tehdit Raporu'nda, araştırmacılarının ChatGPT gibi araçlarla deneyler yapan hükümet adına faaliyet gösteren gruplar ve hacktivistleri gözlemledikleri konusunda uyardı.
Şirket temsilcisi The Independent'a gönderdiği e-postada "Üretken yapay zeka saldırıları demokratikleştirebilir ve daha karmaşık operasyonlar için giriş engelini azaltabilir" diye belirtti.
Teknoloji popülerlik kazanmaya devam ettikçe, muhtemelen 2024'te siber faaliyetlerde üretken yapay zeka kullanılacak.
KAYNAK: The Independent