Yapay zeka dünyasının hızla parlayan yıldızlarından LiteLLM, büyük bir siber saldırıyla gündemde. Proje, ciddi bir kötü amaçlı yazılım saldırısının kurbanı oldu. Bu olay, yapay zeka güvenliği konusundaki endişeleri artırdı. Üstelik LiteLLM’in güvenlik sertifikalarını Delve adlı bir startup sağlamıştı. Delve, kendi içinde tartışmalarla boğuşan bir uyumluluk şirketidir. Bu durum, siber güvenlik dünyasında şaşkınlık yarattı.
LiteLLM, geliştiricilere yüzlerce yapay zeka modeline kolay erişim sağlıyor. Ayrıca harcama yönetimi gibi önemli özellikler sunuyor. Proje, günlük 3.4 milyona varan indirme sayısıyla dikkat çekiyor. GitHub üzerinde 40 binden fazla yıldız almış bir açık kaynak projesidir. Binlerce geliştirici LiteLLM’i temel alarak kendi versiyonlarını oluşturdu.
Kötü amaçlı yazılımı araştırma bilimcisi Callum McMahon keşfetti. McMahon, web araştırmaları için yapay zeka aracı sunan bir şirkette görev yapıyor. Zararlı yazılım, LiteLLM’in güvendiği bir “bağımlılık” yoluyla sisteme sızdı. Bu, başka bir açık kaynak yazılım paketiydi. Yazılım, dokunduğu her yerden giriş bilgilerini çaldı.
Ele geçirilen kimlik bilgileriyle, kötü amaçlı yazılım daha fazla hesaba ulaştı. Açık kaynak paketlerine erişim sağladı. Böylece daha fazla kimlik bilgisi topladı. Bu döngü sürekli devam etti. McMahon’un makinesi LiteLLM’i indirdikten sonra çöktü. Bu olay onu araştırmaya yöneltti. Böylece zararlı yazılımı ortaya çıkardı.
İlginç bir detay daha var. Zararlı yazılımdaki bir hata, McMahon’un makinesinin kapanmasına neden oldu. Bu kötü kodun özensizce tasarlandığı anlaşıldı. Bu nedenle, McMahon ve ünlü yapay zeka araştırmacısı Andrej Karpathy, yazılımın “sezgisel kodlandığı” sonucuna vardı. LiteLLM geliştiricileri duruma çözüm bulmak için durmaksızın çalışıyor. Kötü amaçlı yazılım hızla fark edildi. Muhtemelen saatler içinde tespit edildi. Bu iyi bir haber.
Bu olayın bir başka tartışmalı yönü ise Delve ile ilgili. LiteLLM, internet sitesinde gururla iki büyük güvenlik sertifikasına sahip olduğunu belirtiyor. Bu sertifikalar SOC2 ve ISO 27001’dir. Ancak LiteLLM, bu sertifikasyonlar için Delve adlı bir startup ile çalışmıştı.
Delve: Güvenlik Sertifikasyonunda Şüpheler
Delve, Y Combinator destekli bir yapay zeka tabanlı uyumluluk startup’ı. Şirket, müşterilerini yanıltmakla suçlanıyor. Sahte veri ürettiği iddia ediliyor. Ayrıca raporları onaylayan denetçiler kullandığı söyleniyor. Delve bu iddiaları reddetti.
Burada anlaşılması gereken önemli bir nüans var. Güvenlik sertifikaları, bir şirketin sağlam güvenlik politikalarına sahip olduğunu gösterir. Bu politikalar, benzer olayların olasılığını sınırlamayı amaçlar. Sertifikalar, LiteLLM gibi bir şirketin kötü amaçlı yazılımlardan etkilenmesini otomatik olarak engellemez. SOC 2, yazılım bağımlılıkları etrafındaki politikaları kapsamalıdır. Ancak kötü amaçlı yazılımlar yine de sisteme sızabilir. Bilgi güvenliği standartları hakkında daha fazla bilgi edinmek için NIST’in Siber Güvenlik Kaynakları sayfasını ziyaret edebilirsiniz.
Mühendis Gergely Orosz bu durumu sosyal medyada yorumladı. İnsanların çevrimiçi alay ettiğini görünce şaşırdı. “Vay canına, bunun bir şaka olduğunu sanmıştım. Ama hayır, LiteLLM gerçekten ‘Delve Tarafından Güvence Altına Alınmış’tı” dedi. Bu durum, sektörde büyük yankı uyandırdı.
LiteLLM CEO’su Krrish Dholakia, Delve kullanımı hakkında yorum yapmadı. Kendisi hala saldırının yarattığı talihsizliği gidermekle meşgul. Dholakia, “Mevcut önceliğimiz devam eden soruşturmadır” dedi. Ayrıca, “Adli incelememiz tamamlandıktan sonra teknik dersleri geliştirici topluluğuyla paylaşmaya kararlıyız” diye ekledi. Bu olaydan alınacak çok ders olduğu açık.
Bu olay, açık kaynak projelerinde güvenlik risklerini bir kez daha gösterdi. Özellikle yapay zeka alanındaki hızlı büyüme, siber güvenlik önlemlerini daha kritik hale getiriyor. Şirketlerin sertifikasyon süreçlerini titizlikle denetlemesi gerekiyor. Güvenlik, sadece bir belge olmaktan öte, sürekli bir çaba gerektirir. Kullanıcıların verilerinin korunması en büyük önceliktir. Yapay zeka uygulamalarının güvenilirliği, bu tür olaylarla sınanmaktadır.
Daha fazla güncel Yapay Zeka haberleri için sitemizi ziyaret edebilirsiniz.
