AI Geliştirme ve Model Güvenliği
Yapay zeka (AI) geliştirme süreci, açık kaynak kodlu erken dönemlerin vahşi batı günlerine benzer – modeller, farklı yerlerden farklı unsurlarla bir araya getirilerek üst üste inşa ediliyor.
Ve, açık kaynaklı yazılımlarda olduğu gibi, bu durum, görünürlük ve güvenlik açısından sorunlar ortaya çıkarıyor: Geliştiriciler, önceden oluşturulmuş modellerin temel unsurlarının güvenilir, güvenli ve güvenilir olduğunu nasıl bilebilir?
AI modellerinin daha fazla detayını sunmak için, yazılım tedarik zinciri güvenliği şirketi Endor Labs, bugün Endor Labs Puanları için AI Modelleri’ni piyasaya sürüyor. Yeni platform, dünyanın en popüler AI merkezlerinden biri olan Hugging Face’de mevcut olan 900.000’den fazla açık kaynaklı AI modelini puanlıyor.
Güvenlik, Etkinlik, Kalite ve Popülerlik Üzerine Puanlama
Endor Labs’ın yeni platformu, Hugging Face modellerini güvenlik, etkinlik, kalite ve popülerlik temelinde 50 hazır metrik kullanarak puanlıyor. Geliştiricilerin belirli modeller hakkında detaylı bilgi sahibi olmaları gerekmez – platforma “Hangi modeller duyguları sınıflandırabilir?”, “Meta’nın en popüler modelleri nelerdir?” veya “Popüler bir ses modeli nedir?” gibi sorular yönlendirebilirler.
Platform, geliştiricilere modellerin ne kadar popüler ve güvenli olduğunu, ne zaman oluşturulduklarını ve güncellendiklerini söyler.
Endor – açık kaynak bağımlılıklarını güven altına alan bir şirket – Hugging Face verileri ve bilinen saldırılara ilişkin literatür üzerine dört puanlama kategorisi geliştirdi. Şirket, o verileri analiz eden, düzenleyen ve analiz eden LLM’leri (Large Language Models) devreye soktu ve yeni platformu otomatik olarak ve sürekli olarak model güncellemelerini veya değişikliklerini tarar.
AI, Açık Kaynak Gelişiminin Benzer Bir Yolunda – Ama Çok Daha Karmaşık
Apostolopoulos’a göre, AI’nin gelişimiyle açık kaynak yazılımın (OSS) gelişimi arasında birçok paralellik var. Her ikisinde de çok sayıda seçenek ve riskler bulunmaktadır. OSS’de, yazılım paketleri güvenlik açıklarını gizleyen dolaylı bağımlılıklar ekleyebilir.
Benzer şekilde, Hugging Face’in çoğu modeli Llama veya diğer açık kaynak seçeneklerine dayanmaktadır. “Bu AI modelleri neredeyse bağımlılıklardır,” diye açıklıyor Apostolopoulos.
AI modelleri genellikle diğer modellerin üzerine inşa edilir veya bu modellerin uzantılarıdır, geliştiriciler bunları kendi özel kullanım durumlarına göre ayarlar. Bu, Apostolopoulos’un “karmaşık bir bağımlılık grafiği” olarak nitelendirdiği bir şey yaratır, bu da hem yönetmek hem de güvenliğini sağlamak zor olabilir.
Apostolopoulos, güvenlik konusunu “karmaşık ve ilginç” olarak nitelendirdi. Modelde birçok zayıflık ve risk bulunmakta ve modeller, bir yerlerde kötü niyetli kod enjekte etme, yazım yanlışı ve kompromize edilmiş kullanıcı kimlik bilgilerine karşı hassastır.
Apostolopoulos, “Bunlar daha yaygın hale geldikçe, saldırganları her yerde göreceğiz,” diyor. “Saldırı vektörleri o kadar çok ki, güven kazanmak zor. Görünürlüğe sahip olmak önemlidir.”