Yeni bir analiz, siber suçluların yapay zekâyı faaliyetlerine entegre etmekte zorlandığını ortaya koydu.
Edinburgh Üniversitesi’nden yeni bir ön baskı çalışma, yeraltı forumlarından veri toplayan CrimeBB veritabanını kullanarak siber suçlulara ait 100 milyondan fazla forum mesajını inceledi.
Veriler hem manuel olarak hem de büyük bir dil modeli (LLM) aracılığıyla analiz edildi.
Çalışmaya göre, siber suçlular yapay zekâ araçlarını kullanmayı öğrenmeye ilgi gösterse de, bu teknoloji “çalışma” biçimlerini kayda değer ölçüde değiştirmedi.
Raporda, “incelemelerin ve tartışmaların çoğunda yapay zekâ araçlarının özellikle faydalı bulunmadığı” ifade ediliyor.
Araştırmacılar, bilgisayar korsanlarının yapay zekâ’dan ister bir öğrenme aracı olarak, ister daha etkili araçlar geliştirmek için yararlanırken saldırı faaliyetlerini geliştirmede başarı sağladıklarına dair “kayda değer bir kanıt” bulamadıklarını belirtiyor.
Çalışmada ayrıca, kod yazma konusunda zaten yetkin olanlar için yararlı olan yapay zekâ tabanlı kodlama asistanlarının, sisteme sızmaya ya da güvenlik açıkları bulmaya çalışırken bilgisayar korsanlarına kayda değer bir “avantaj” sağlamadığı belirtildi.
Çalışmada alıntılanan bir paylaşımda, “yapay zekâ’yı kullanıp ondan gerçekten fayda sağlayabilmeden önce programlamanın inceliklerini önce kendi başına öğrenmen gerekiyor” deniyor.
Şimdiye kadar yapay zekâ’nın hukuka aykırı sayılabilecek çevrim içi faaliyetler üzerindeki başlıca etkisi, otomasyonu kolay alanlarda görülüyor; sosyal medya botu üretimi, bazı romantik dolandırıcılık türleri ve arama motoru optimizasyonu (SEO) sahtekârlığı ya da reklam gelirleri elde etmek için arama sonuçlarında üst sıralara taşınan sahte sitelerin oluşturulması gibi.
Değerlendirmeler, en deneyimli bilgisayar korsanlarının bile kodlama sorularını yanıtlatmak ya da kendilerine yardımcı olacak kısa “cheatsheet”ler üretmek için sohbet botlarını kullandığını gösteriyor.
Gerçekte kullanılan yapay zekâ ise, bilgisayar korsanlarının kötü amaçlı yazılım kodu ya da oltalama e-postaları üretmek için geliştirdiği WormGPT gibi özel siber suç modellerinden ziyade Anthropic’in Claude’u veya OpenAI’nin Codex’i gibi “ana akım ve yasal ürünler” sınıfına giriyor.
Analiz edilen gönderilerin önemli bir bölümü, siber suçluların bu ana akım modellerdeki güvenlik önlemlerini nasıl aşabileceklerine dair yöntemler sormasına ayrılmış; ancak yapay zekâ sistemlerini güvenlik ayarlarını devre dışı bırakmaya ikna etmekte zorlandıkları anlaşılıyor.
Bunun yerine siber suçlular, kırılması daha kolay olan, daha eski ve kalitesi düşük açık kaynaklı yapay zekâ modellerine yönelmek zorunda kalıyor. Araştırmacılar, bu modellerin genellikle daha az kullanışlı olduğunu ve “önemli ölçüde kaynak gerektirdiğini” belirtiyor.
