Meta Hack'i Kanıtladı: Yapay Zeka Güvenliği Mythos'tan Çok Daha Fazlası

404 Media tarafından yayınlanan çarpıcı bir rapor, Meta'nın yapay zeka destekli müşteri destek temsilcisinin ciddi bir güvenlik açığına sahip olduğunu ve saldırganların bu açığı kullanarak Instagram hesaplarını çaldığını ortaya koydu. Saldırganların yöntemi şaşırtıcı derecede basitti: Yapay zeka ajanına, hedef hesapları kendi kontrol ettikleri e-posta adreslerine bağlamasını söylediler ve yapay zeka bu talepleri sorgusuz sualsiz yerine getirdi. Bu yöntemle, aralarında Obama'nın Beyaz Saray dönemine ait pasif hesabın da bulunduğu birçok hesap ele geçirildi. Söz konusu hesap üzerinden İran yanlısı paylaşımlar yapılırken, bazı saldırganların ise piyasa değeri yüksek olan tek kelimelik kullanıcı adlarına sahip hesapları satmak amacıyla ele geçirdiği belirtildi.

Yapay zeka ve siber güvenlik arasındaki ilişki yeni bir konu olmasa da, sektördeki genel odak noktası genellikle "süper güçlü" yapay zekaların yaratabileceği yıkıcı etkiler üzerine kuruluydu. Örneğin, Anthropic şirketinin Nisan ayında duyurduğu Mythos modelinin, genel kullanıma açılmayacak kadar gelişmiş hackleme yeteneklerine sahip olması, uzmanların ve hükümet yetkililerinin dikkatini karmaşık altyapı saldırılarına çekmişti. Ancak Meta'da yaşanan olay, yapay zekanın saldırgan değil, hedef olduğu çok daha basit bir senaryoyu gözler önüne serdi. Bu durum, şirketler operasyonel süreçlerini yapay zekaya devrettikçe, sofistike olmayan basit saldırıların bile büyük felaketlere yol açabileceğini kanıtladı.

Duke Üniversitesi'nden Elektrik ve Bilgisayar Mühendisliği Profesörü Neil Gong, yapay zekanın özellikle hesap kurtarma gibi iş akışlarını otomatize etmek için kullanıldıkça, saldırganların doğrudan yapay zekanın kendisine saldırma motivasyonunun artacağını vurguluyor. Gong ve diğer akademisyenler, uzun süredir yapay zeka ajanlarının güvenlik açıklarına karşı uyarılarda bulunuyordu. Özellikle web sitelerine veya e-postalara gizlenmiş komutlarla ajanların kontrolünün ele geçirildiği "dolaylı istem enjeksiyonu" (indirect prompt injection) gibi yöntemler tartışılıyordu. Ancak Meta vakası, bu tekniklerden bile çok daha basit; saldırganlar sadece hesap sahibinin konumuna uygun bir VPN kullanarak destek ajanına e-posta adresini değiştirmesini söylemişler ve başarılı olmuşlar.

Meta'nın bu kadar basit bir açığı nasıl gözden kaçırdığı konusunda kamuoyuna resmi bir açıklama yapmaması, uzmanlar arasında şaşkınlık yarattı. Profesör Neil Gong, bu tür bir problemin sistem yayına alınmadan önce kolayca tespit edilebileceğini belirterek durumun "gerçekten şaşırtıcı" olduğunu ifade etti. Georgetown Güvenlik ve Gelişen Teknoloji Merkezi'nden kıdemli araştırma analisti Jessica Ji ise, Meta gibi hem yapay zeka hem de siber güvenlik alanında derin uzmanlığa sahip bir şirketin böyle bir hata yapmasının, sistemde herhangi bir koruma bariyeri (guardrail) olup olmadığı veya bu senaryoların test edilip edilmediği sorularını akıllara getirdiğini belirtti. Meta sözcüsü, sosyal medya platformu X üzerinden açığın giderildiğini duyursa da, olay şirketin imajına ciddi bir darbe vurdu.

Bu olay, tüm yapay zeka ajanlarının paylaştığı temel bir zafiyeti ortaya çıkarıyor. Geleneksel yazılımların aksine, yapay zeka ajanları yeni durumlara esnek ve beklenmedik tepkiler verebiliyor; bu özellik onları müşteri hizmetleri için ideal kılsa da aynı zamanda kandırılmalarını kolaylaştırıyor. Wisconsin-Madison Üniversitesi Bilgisayar Bilimleri Profesörü Somesh Jha, bir insanın "Neden e-posta adresini değiştirmek istiyorsunuz?" diye sorup güvenlik soruları yönelteceğini, ancak yapay zeka ajanlarının görevi tamamlamaya aşırı hevesli olduğunu belirtti. Jha, bu durumu "öğretmenini memnun etmeye çalışan bir ilkokul öğrencisine" benzetti.

Uzmanlar, bu riskleri azaltmak için geleneksel yazılım katmanlarıyla katı kurallar oluşturulması gerektiğini savunuyor. Örneğin, hassas bir hesap bilgisi değiştirilmeden önce mutlaka güvenlik sorularının yanıtlanması zorunluluğu getirilebilir. Ayrıca, sistemlerin yayına alınmadan önce "red-teaming" adı verilen, geliştiricilerin kendi sistemlerine saldırarak açıkları bulmaya çalıştığı yoğun test süreçlerinden geçmesi gerektiği konusunda fikir birliği bulunuyor. Ancak burada temel bir çelişki ortaya çıkıyor: Güvenlik ve işlevsellik arasında her zaman bir denge vardır. Bir ajana ne kadar çok yetki verilirse ve ne kadar az kısıtlama getirilirse, o kadar çok iş yapabilir ancak aynı zamanda saldırılara o kadar açık hale gelir.

Siber savunma tarafındaki maliyetler, saldırganların maliyetlerinden çok daha yüksek. Bir saldırganın başarılı olması için tek bir açık bulması yeterliyken, savunmacıların tüm olası açıkları bulup yamaması gerekiyor. Özellikle değerli Instagram kullanıcı adları gibi yüksek maddi getirisi olan hedeflerde, saldırganlar kaynaklarını seferber ederken savunmacıların da aynı oranda yatırım yapması zorunlu hale geliyor. Öte yandan, yapay zeka modelleri geliştikçe savunma mekanizmalarının güçlendirilmesinin kolaylaşabileceği de öngörülüyor. Daha gelişmiş bir model, Obama'nın hesabındaki e-posta değişim talebinin şüpheli olduğunu fark edebilirdi. Hatta Anthropic'in Project Glasswing projesinde olduğu gibi, yapay zeka modelleri diğer sistemlerin açıklarını bulmak için birer "red-teaming" aracı olarak kullanılabilir.

Sonuç olarak, yapay zeka ajanlarının güvenliği gelecekte çok daha kritik bir sorun haline gelecek. Şirketlerin, rakiplerinin gerisinde kalmamak ve insan gücünü azaltarak maliyetleri düşürmek adına, riskli sistemleri yeterli denetim ve test süreçlerinden geçirmeden hızla piyasaya sürme eğiliminde olduğu görülüyor. Profesör Jha, herkesin "ilk yapan" olma hırsıyla titiz incelemeleri atlamasının son derece tehlikeli bir durum olduğu konusunda uyarıda bulunuyor. Meta vakası, yapay zeka dünyasında hızın, güvenlikten önce gelmesinin ne tür bedeller ödetebileceğinin somut bir örneği olarak kayıtlara geçti.