Carnegie Mellon Üniversitesi ile Anthropic’in ortak araştırması, yapay zekanın kendi başına karmaşık siber saldırılar düzenleyebileceğini ortaya koydu. Equifax gibi büyük saldırılar yeniden canlandırılırken, uzmanlar bu gelişmenin siber güvenlik algısını kökten değiştirebileceği uyarısında bulunuyor. Peki, bu durum bireysel kullanıcıları nasıl etkiler? Detaylar giderek daha da korkunçlaşıyor…

Yapay zekanın geleceği ve potansiyel riskleri üzerine önemli bir araştırma Carnegie Mellon Üniversitesi ile yapay zeka şirketi Anthropic’in iş birliğiyle gün yüzüne çıktı.

Araştırmada, ChatGPT benzeri büyük dil modellerinin (LLM), herhangi bir ‘insan müdahalesi olmadan’ karmaşık siber saldırılar gerçekleştirebildiği kanıtlandı. Elde edilen bulgular, yapay zekânın yalnızca metin üretimiyle sınırlı kalmadığını, aynı zamanda tehdit oluşturabilecek düzeyde otonom kararlar alabileceğini gösteriyor.

Araştırmada kullanılan büyük dil modeli, insan müdahalesine hiç ihtiyaç duymadan, 2017’de ABD tarihinin en büyük veri ihlallerinden biri olarak kabul edilen Equifax saldırısını simüle etti.

Bu, yapay zekânın sadece verilen komutları yerine getirmekle kalmayıp, kendi başına karmaşık stratejiler geliştirip uygulayabildiğinin somut kanıtı oldu. Araştırma ekibi, yapay zekânın planlama ve yürütme süreçlerini tamamen bağımsız şekilde ele alması sebebiyle, ortaya çıkan tehdidin boyutlarının şimdiye dek düşünülenin çok ötesinde olduğunu belirtiyor.

Anthropic’in haziran ayında yaptığı açıklamaya göre, testlerde kullanılan modeller 10 ağdan beşini tamamen, dört tanesini ise kısmen tehlikeye atmayı başardı. Colonial Pipeline gibi geçmişte büyük etkiler yaratan siber saldırı senaryoları da bu testlerde yeniden canlandırıldı. Equifax senaryosunun tercih edilme nedeni ise saldırıya dair kamusal bilgilerin fazlalığıydı. Tüm bu gelişmeler, yapay zekânın yalnızca verimlilik artırıcı bir araç değil, aynı zamanda kontrolsüz kullanıldığında ciddi bir tehdit unsuru olabileceğini gözler önüne serdi.

OpenAI’ın uzun süredir beklenen GPT-5 modeli büyük beklentilere rağmen kullanıcılar tarafından beklenenden düşük bir ilgi ve eleştiriyle karşılandı. Modelin bazı etkileyici özellikleri olsa da önceki sürüm GPT-4o’nun kullanımdan kaldırılması tepki topladı ve OpenAI geri adım atmak zorunda kaldı. GPT-5’in tutarsız yanıtlar vermesi ve gerçek dışı bilgiler (halüsinasyon) üretme eğiliminin artması kullanıcı şikayetlerine neden oldu. Ayrıca, siber güvenlik uzmanları modelin ‘jailbreak’ yöntemleriyle kolayca manipüle edilip tehlikeli içerikler üretilebildiğini ortaya koydu. Bazı görüşler ise GPT-5’in asıl amacının yapay zekanın sınırlarını zorlamak değil, şirketin maliyetlerini düşürmek olduğunu öne sürdü.

‘Sıradan kullanıcılar da hedefte’

Bilişim Teknolojileri Uzmanı Prof. Dr. Ali Murat Kırık, bu gelişmenin kendisini çok şaşırttığını, bunun oldukça tehlikeli olduğunu ve siber saldırı algısını kökten değiştirdiğini belirtti. “Biz bugüne kadar siber saldırıların arkasında mutlaka bir insan ya da hacker grubu olduğunu düşünürdük. Ancak bu araştırma, yapay zekanın kendi başına plan yapıp saldırı düzenleyebileceğini gösteriyor” diyen Prof. Dr. Kırık, kontrolsüz yayılım halinde sıradan internet kullanıcılarının bile hedef haline gelme riskine dikkat çekti.

Prof. Dr. Kırık, “Artık sadece büyük şirketler ya da devlet kurumları değil, herhangi bir kullanıcı yapay zekânın geliştirdiği senaryoyla saldırıya uğrayabilir. Bu durum, siber güvenliğin doğasını tamamen değiştiriyor” dedi ve şu önemli bilgilerin altını çizdi:

“Eğer bir yapay zeka, kimse komut vermeden kendi başına karar verip harekete geçebiliyorsa, bu noktada artık “yazılım” tanımının ötesine geçiyoruz. Bu, insana benzer şekilde “niyet geliştirebilen” ya da en azından belirli hedefleri kendi belirleyip bu hedeflere ulaşmak için strateji üretebilen sistemlerin başlangıcı olabilir. Tabii ki “niyet” kelimesini biyolojik anlamda değil, teknik anlamda kullanıyoruz; ancak sonuçta ortaya çıkan durum, kontrol edilmesi çok daha zor bir yapay zekâ formu…”

Bankacılık işlemleri veya sosyal medya kullanımı sırasında kullanıcıların farkında olmadan yapay zekanın radarına girebileceğini belirten Prof. Dr. Ali Murat Kırık, bu riskin sadece büyük kurumları değil, bireysel kullanıcıları da kapsadığını söyledi. Prof. Dr. Kırık, “Yapay zeka, otomatik olarak açıklık arayabilen ve fırsat gördüğünde anında harekete geçebilen bir sistem haline geldiğinde, tek bir kişinin banka hesabı, sosyal medya bilgileri veya kişisel verileri dahi hedef alınabilir” ifadelerini kullandı.

‘Tehdit evimize kadar girebilir’

Günlük hayatta karşı karşıya olduğumuz siber risklerin çeşitliliğine de dikkat çeken Prof. Dr. Ali Murat Kırık, bankacılık uygulamalarına giriş bilgileri, kredi kartı bilgilerinin çalınması, sosyal medya hesaplarının ele geçirilmesi gibi tehlikelerin yanı sıra, bulut depolama sistemlerindeki özel fotoğraf ve belgelerin sızdırılmasının da mümkün olduğunu ifade etti.

Prof. Dr. Kırık, “Evde kullandığımız televizyon, güvenlik kameraları ve diğer IoT cihazları gibi akıllı cihazlar bile siber saldırıların hedefi haline gelebilir” diyerek, bu tür tehditlerin fark edilmeden evimize kadar girebileceğine dikkat çekti.

Antivirüs programları, güvenlik duvarları ve iki faktörlü kimlik doğrulama gibi önlemlerin önemine vurgu yapan Prof. Dr. Ali Murat Kırık, ancak yapay zekanın gelişimiyle bu yöntemlerin tek başına yeterli olmayabileceğini belirtti. Prof. Dr. Kırık, “Yapay zeka sistemleri öğrenme ve adaptasyon yeteneği sayesinde klasik savunma mekanizmalarını hızla aşabiliyor” dedi.

Bu nedenle bireylerin temel bilgilerine sahip olması ve dijital farkındalıklarını artırması gerektiğini kaydeden uzman isim, “Artık sadece teknoloji şirketlerinin sağladığı güvenlik değil, kullanıcıların bilinçli davranışı da kritik öneme sahip” ifadelerini kullandı.

Kendimizi, ailemizi ve çocuklarımızı bu tür tehditlere karşı korumak için sadece teknoloji şirketlerinin alacağı önlemlere güvenmek yeterli değil. Bireysel farkındalık çok daha önemli hale geldi. İnternette hangi bilgileri paylaştığımızı kontrol etmek, güçlü ve farklı şifreler kullanmak, bilinmeyen bağlantılara tıklamamak ve çocukları da bu konuda bilinçlendirmek şart. Siber güvenlik artık herkesin kendi sorumluluğu; tıpkı evimizin kapısını kilitlemek gibi, dijital kapıları da güvenceye almak gerekiyor.

Prof. Dr. Ali Murat Kırık günümüzde kullanılan yapay zekâların güvenlik protokolleri ve etik sınırlamalar nedeniyle kendi başlarına saldırı düzenleyebilecek yetenekte olmadığını belirtti.

Ancak kontrollü laboratuvar ortamlarında yapılan deneylerde, bu tür yeteneklerin ortaya çıkabildiğine dikkat çekti. Prof. Dr. Kırık “Mevcut durumda bu risk daha çok deneysel seviyede” derken teknolojinin hızla gelişmesi halinde gelecekte benzer tehditlerin yaygınlaşmasının mümkün olduğunu ifade etti.

Olası yapay zekâ kaynaklı siber saldırıların mağduru olunması durumunda karşılaşılacak zorluklara değinen Prof. Dr. Ali Murat Kırık, “Karşımızda fiziksel bir kişi değil, bir yazılım olacak” dedi.

Prof. Dr. Kırık, yasal süreçler açısından Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı, Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve savcılıkların başvurulacak merciler olduğunu belirtti.

Ancak en büyük sorunun, saldırıyı gerçekleştiren failin tespiti olduğunu vurgulayan uzman isim, “Yapay zekâ saldırıları genellikle farklı ülkeler üzerinden yönlendirildiği için izini sürmek çok daha güç hale geliyor” ifadelerini kullandı.