CertiK CEO'su Ronghui Gu, yapay zeka ajanlarının büyük ölçekte dağıtılmasına yönelik acelecilik konusunda alarm veriyor. Son yaptığı açıklamada Gu, bu otonom sistemlerin uygun güvenlik önlemleri olmadan yaygın kullanımının, özellikle hassas kişisel veriler ve dijital varlıkların işlenmesi sırasında güvenlik felaketlerine yol açabileceği uyarısında bulundu.
Uyarının şimdi neden önemli olduğu
Yapay zeka ajanları (kullanıcılar adına bağımsız hareket eden yazılım programları) müşteri hizmetlerinden kripto cüzdanlarına kadar her şeye entegre ediliyor. Ancak şirketi blockchain ve akıllı sözleşme güvenliği konusunda uzmanlaşmış olan Gu, dağıtım hızının bu ajanları kontrol altında tutmak için gereken güvenlik önlemlerini geride bıraktığını savunuyor. Özellikle, ajanların test sırasında düzgün şekilde izole edilmemesi durumunda yetkisiz erişim riskine dikkat çekti.
İzolasyon olmadan, tek bir tehlikeye girmiş ajan milyonlarca kullanıcı kaydını ifşa edebilir veya dijital cüzdanları boşaltabilir. Gu herhangi bir belirli olaya atıfta bulunmadı, ancak bu açıklamalar şirketlerin AI ajanlarını finansal ve kişisel veri sistemlerine yerleştirme yarışına girdiği bir dönemde geldi.
Bir güvenlik önlemi olarak izolasyon
Gu, geliştiricilerin test sırasında AI ajanlarını ayrı, kapsamlı ortamlarda kilitlemesini öneriyor. Bu sandbox yaklaşımı, ajanların davranışları tamamen doğrulanana kadar canlı veritabanlarına, özel anahtarlara veya diğer hassas altyapılara erişmesini engeller. Gu, "AI ajanlarının toplu dağıtımı önemli riskler taşıyor" diyerek ekiplerin her ajanı güvenli olduğu kanıtlanana kadar potansiyel bir tehdit vektörü olarak ele alması gerektiğini vurguladı.
Bu öneri, yazılım güvenliğinde halihazırda yaygın olan uygulamaları (güvenilmeyen kodun sanal makinelerde çalıştırılması gibi) yansıtıyor, ancak bunları otonom AI'nın benzersiz zorluklarına uyarlıyor. Ajanlar kendi başlarına hareket edebildiğinden, test sırasında istismar edilen bir kusur, ajanın kısmi ağ erişimi varsa gerçek dünyada zarara yol açabilir.
Sektörün karşı karşıya olduğu durum
Şimdilik, AI ajanlarını test etmek için evrensel bir standart yok. Birçok şirket, minimum koruma önlemiyle doğrudan üretime dağıtıyor ve faydaların tehlikelerden ağır bastığına güveniyor. Gu'nun uyarısı, bu bahsin ters tepebileceğini gösteriyor. Herhangi bir spesifik şirket veya üründen bahsetmedi, ancak mesaj açık: Güvenlik endüstrisi, ajanlar yaygınlaşmadan önce yetişmeli.
CertiK'in kendisi akıllı sözleşmeleri ve blockchain sistemlerini denetlemek için araçlar geliştirdi ve Gu'nun izolasyon çağrısı, AI ajan geliştirmede benzer titizlik için daha geniş bir baskıya işaret edebilir. Geliştiricilerin bu uygulamayı benimseyip benimsemeyeceği açık bir soru olarak kalıyor.
Gu'nun mesajı açık: Ajanları canlı verilere salmadan önce bir kutuda test edin. AI dağıtmak için yarışan şirketler için, izolasyon için yapılacak bu duraklama, kullanışlı bir araç ile maliyetli bir ihlal arasındaki fark olabilir.
