Hata Avcılarına Yapay Zeka İstilası: "AI Slop" Kabusu

Yazılımlarındaki açıkları bulan etik hackerlara ödül veren şirketler, yapay zeka tarafından üretilen düşük kaliteli raporların istilasına uğradı. "Bug bounty" (hata avcılığı) programları aracılığıyla güvenlik açıklarını tespit ettirmeye çalışan firmalar, yapay zeka araçlarının neden olduğu asılsız bildirim yağmuru nedeniyle bazı programlarını tamamen askıya almak zorunda kaldı.

OpenAI, T-Mobile ve Motorola gibi dev şirketlere hizmet veren Bugcrowd, Mart ayında üç haftalık bir süreçte aldıkları rapor sayısının dört katından fazla arttığını, ancak bu raporların çoğunun hatalı çıktığını bildirdi. Benzer şekilde, internet üzerinden veri transferi için yaygın olarak kullanılan Curl aracı, "yapay zeka çöplüğü" olarak nitelendirilen düşük kaliteli raporlardaki patlama nedeniyle ücretli ödül programını Ocak ayında durdurdu.

Siber güvenlik uzmanları, üretken yapay zekadaki ilerlemelerin hata avcılığı programlarının ekonomik dengelerini değiştirdiğini belirtiyor. Yapay zeka araçları deneyimli araştırmacıların açıkları daha hızlı bulmasını sağlasa da, giriş bariyerini düşürerek şirketlerin ayıklamak zorunda kaldığı devasa bir otomatik ve hatalı bildirim akışına yol açtı. Sophos Bilgi Güvenliği Direktörü Ross McKerchar, bu durumun ciddi bir sorun haline geldiğini ve ödül programlarının hayatta kalabilmek için dönüşmek zorunda olduğunu vurguladı.

2000'li yılların başından beri popülerleşen ve büyük keşifler için altı hanceli ödemeler sunan bu sistemler, ciddi yatırımlar alıyordu. Örneğin Google, 2021'de 7,5 milyon dolar olan toplam ödül ödemelerini geçen yıl 17 milyon dolara çıkardı. Hatta şirket, 2022 yılında Android işletim sistemindeki bir açığı bulan kullanıcıya 605 bin dolarlık rekor bir ödeme yapmıştı.

McKerchar'a göre bu düşük kaliteli rapor artışının arkasında üç farklı grup bulunuyor: İlk kez hata aramaya çalışan amatörler, yapay zeka araçları tarafından yanlış yönlendirilen mevcut araştırmacılar ve "tam otomatik tarama ve gönderim sistemleri" kurarak süreci kaosa sürükleyen deneyimli yapay zeka geliştiricileri.

Curl'ün yaratıcısı Daniel Stenberg, bitmek bilmeyen bu düşük kaliteli bildirimleri yönetmenin ve çürütmenin ciddi bir zihinsel yük oluşturduğunu belirtti. Yazılım grubu Nextcloud da benzer nedenlerle Nisan ayında ödül programını askıya aldığını ve etkili bir filtreleme yöntemi bulana kadar geri dönmeyeceğini açıkladı. Bu kriz, Anthropic'in yazılım hatalarını insanlardan daha hızlı bulabildiğini iddia ettiği yeni siber yapay zeka modeli "Mythos"u piyasaya sürdüğü bir döneme denk geliyor.