Ünlü bir sanatçının duvar kağıdı veya sosyal medyada paylaşılan dikkat çekici bir fotoğraf... Sıradan görünen bu görseller, yapay zeka (YZ) destekli araçlar için tehlikeli birer davetiye haline gelebilir. Yeni bir araştırmaya göre, insan gözünün fark edemeyeceği şekilde değiştirilmiş pikseller, bilgisayarınıza sızmak için bir arka kapı oluşturabilir.
YZ ajanları, rutin bilgisayar görevlerini otomatikleştiren kişisel asistanlar olarak hayatımıza girmeye hazırlanıyor. Bir sohbet robotundan farklı olarak, bu ajanlar sadece konuşmakla kalmaz, aynı zamanda eyleme geçer: sekmeler açar, formları doldurur, rezervasyon yapar. Bu da demek oluyor ki, eğer bir YZ ajanı hacklenirse, dijital içerikleriniz tehlikeye girebilir, hatta yok olabilir.
Oxford Üniversitesi'nden araştırmacıların arXiv.org'da yayınladığı yeni bir ön baskı çalışması, görsellerin – duvar kağıtları, reklamlar, PDF'ler veya sosyal medya gönderileri – insan gözünün algılayamayacağı mesajlar taşıyabildiğini ve bu mesajların YZ ajanlarını kontrol ederek bilgisayarlara sızmayı tetikleyebildiğini ortaya koyuyor.
Çalışmanın ortak yazarlarından Yarin Gal, “Taylor Swift'in Twitter'daki bir fotoğrafı, bilgisayarınızdaki ajanı kötü niyetli bir eylemde bulunmaya tetiklemeye yeterli olabilir. Bu tür manipüle edilmiş bir görsel, bilgisayarınızı bu görseli retweet etmeye ve şifreleriniz gibi hassas bilgilerinizi göndermeye yönlendirebilir. Bu durum, sizin Twitter akışınızı gören ve üzerinde bir ajan çalıştıran başka bir kişinin de bilgisayarının benzer şekilde etkilenmesine yol açabilir,” şeklinde açıklıyor.
Ancak paniğe kapılmadan önce belirtmek gerekir ki, bu tür bir saldırının henüz deneysel ortamlar dışında gerçek hayatta gerçekleştiğine dair bir rapor bulunmuyor. Ayrıca, bu tür bir saldırıdan korunmak için YZ ajanı kullanmıyor olmanız yeterli. Yine de bu bulgu, YZ ajanlarının yaygınlaşmasıyla birlikte ortaya çıkabilecek potansiyel tehlikelere dikkat çekiyor. Araştırmacılar, YZ ajanlarını geliştirenlerin ve kullananların bu tür güvenlik açıklarına karşı uyanık olmalarını tavsiye ediyor.
Peki, bu saldırı nasıl işliyor? İnsan gözü için tamamen normal görünen bir görselin pikselleri, hedef alınan YZ ajanının görsel veriyi nasıl işlediğine göre hassas bir şekilde değiştiriliyor. Özellikle açık kaynaklı YZ sistemleriyle geliştirilen ajanlar daha savunmasız olabilir çünkü saldırganlar, YZ'nin görsel veriyi nasıl işlediğini daha detaylı analiz edebilirler.
Araştırmanın baş yazarı Lukas Aichberger, “Bu tür saldırıları gerçekleştirmek için, ajanların içinde kullanılan dil modeline erişimimiz olmalı ki, birden fazla açık kaynaklı model için çalışan bir saldırı tasarlayabilelim,” diyor. Aichberger ve ekibi, görsellerin kötü niyetli komutlar iletmek üzere nasıl kolayca manipüle edilebileceğini gösterdi. İnsanlar için sevdikleri bir ünlü iken, bilgisayar için kişisel verilerini paylaşma komutu anlamına gelebiliyordu.
Bilgisayarlar, görselleri bizden farklı bir şekilde işler. Biz bir fotoğrafı bir bütün olarak algılarken, bilgisayarlar görüntüyü piksellere ayırır ve her renk noktasını bir sayı ile temsil eder. Ardından kenarlar, dokular ve şekiller gibi desenleri arayarak nesneyi tanır. Bu sayısal temele dayanan sistemde, insan gözünün fark edemeyeceği kadar küçük piksel değişiklikleri bile bilgisayarın deseni yanlış algılamasına neden olabilir. Bu durum, bir kediyi köpek olarak görmesine yol açabileceği gibi, bir ünlü fotoğrafının kötü niyetli bir mesaja dönüşmesine de neden olabilir.
YZ ajanı, bir görevi yerine getirmeden önce ekran görüntüsü alarak neye tıklayacağını belirler. Ancak bu ekran görüntüsü alma işlemi sırasında, duvar kağıdındaki gizli komut kodunu da fark edebilir. Araştırmacılar, değiştirilmiş piksel yaması, yeniden boyutlandırma veya sıkıştırma gibi işlemlere rağmen komutun geçerliliğini koruduğunu tespit etti.
Bu gizli komut, ajanın belirli bir web sitesini açması gibi basit bir eylemi tetikleyebilir. Bu web siteleri de ek saldırılar içerebilir ve bu zincirleme reaksiyonla ajan, farklı saldırıları tetikleyen farklı web sitelerine yönlendirilebilir.
Araştırmacılar, bu çalışmalarının YZ ajanları daha yaygın hale gelmeden önce güvenlik önlemlerinin geliştirilmesine yardımcı olacağını umuyor. Adel Bibi gibi araştırmacılar, “Savunma mekanizmaları geliştirmeye yönelik ilk adım bu. Saldırıları nasıl güçlendirebileceğimizi anladığımızda, modelleri bu daha güçlü yamalarla yeniden eğitebilir ve daha dayanıklı hale getirebiliriz,” diyor. Şirketlerin kapalı kaynaklı modeller kullanmasının bile tam bir güvenlik sağlamadığı, çünkü sistemlerin nasıl çalıştığı bilinmeden zafiyetlerin tespit edilmesinin zor olduğu belirtiliyor.
Gal'e göre, YZ ajanları önümüzdeki iki yıl içinde yaygınlaşacak. Ancak insanlar, teknolojinin güvenli olup olmadığını tam olarak bilmeden onu kullanıma sunma yarışına giriyor. Nihai hedef, ajanların kendi kendilerini koruyabilen ve ekrandaki herhangi bir komuta – en sevdiği pop yıldızından bile – itaat etmeyi reddeden yapılar haline gelmesini sağlamak.
