Araştırmacılar, dünyanın en gelişmiş bazı yapay zeka (AI) modellerini eğitmek için kullanılan veriler hakkında şaşırtıcı bir gerçek keşfetti. Common Crawl adlı devasa bir veri kümesinde binlerce gerçek, çalışan API anahtarı ve şifre bulundu. Bu veri kümesi, OpenAI, Google ve diğerleri gibi şirketlerin AI modellerini eğitmesine yardımcı oluyor.
Common Crawl, devasa bir web veri arşivi toplayan kar amacı gütmeyen bir kuruluştur. İnternet genelindeki web sitelerinin anlık görüntülerini alır. Herkes bunu ücretsiz olarak kullanabilir. Ve o kadar büyük olduğu için, birçok AI projesi modellerini eğitmek için ona güveniyor.
Hassas verileri avlayan bir şirket olan Truffle Security‘den bir ekip, Aralık 2024 Common Crawl arşivini taradı. 2.67 milyar web sayfasından 400 terabayt veri kontrol ettiler. Buldukları şey endişe vericiydi. Neredeyse 12.000 geçerli API anahtarı ve şifre orada saklanıyordu.
API anahtarları ve şifreler dijital anahtarlar gibidir. Çevrimiçi hizmetlere erişimin kilidini açarlar. Kötü adamlar bunları ele geçirirse, veri çalabilir, spam gönderebilir veya hesapları ele geçirebilirler. Daha da kötüsü, birçok sır birden fazla sayfada ortaya çıktı. Rapor, yaklaşık %63’ünün tekrarlandığını belirtiyor. Bir API anahtarı, 1.871 alt alanda 57.029 kez ortaya çıktı. Bu çok fazla maruz kalma demek.
Amazon Web Services (AWS), MailChimp ve WalkScore gibi hizmetler için anahtarlar buldular. Bazıları AWS kök anahtarları bileydi. Bunlar süper güçlüdür ve tüm bir AWS hesabının kilidini açabilir. Keşfin ardından Truffle Security, bu anahtarların binlercesini iptal etmek için satıcılarla birlikte çalıştı. Bu sırlar neden ortalıkta? Araştırmacılar, geliştiricilerin bunları genellikle kolaylık sağlamak için uygulamalarına sabit kodladıklarını iddia ediyor. Bu kötü bir fikir. Bulunmalarını kolaylaştırıyor.
AI eğitim verileri hassas şeyleri kaldırmak için temizlenir. Ancak bu kadar çok veriyle bazı sırlar sızıyor. Bu, AI güvenliği hakkında endişeleri artırıyor. Modeller güvensiz koddan öğrenirse, geliştiricilere kötü uygulamalar önerebilirler.
Truffle Security, “Güvensiz kod üzerinde eğitilmiş LLM’ler güvenli olmayan çıktılar üretebilir” dedi. Bu büyük bir kırmızı bayrak. Geliştiriciler, TruffleHog gibi araçlarla sırları tarayarak bununla mücadele edebilir. Ayrıca, sabit kodlama yerine ortam değişkenleri gibi güvenli püf noktaları kullanmalıdırlar.
Bu bulgu bir uyandırma çağrısı. Güvenli kodlama ve dikkatli veri kontrollerinin neden önemli olduğunu gösteriyor. Bunu düzeltmek AI’yı güçlü ve güvende tutabilir.
