Yakın zamanda ortaya çıkan analizler, Çin merkezli üç yapay zeka şirketinin Anthropic’in Claude adlı büyük dil modelini (LLM) yasa dışı yollarla kopyalamak amacıyla yaklaşık 24.000 sahte hesap üzerinden 16 milyondan fazla sorgu gerçekleştirdiğini gösteriyor. Bu distilasyon saldırıları, hizmet şartları ve bölgesel erişim kısıtlamalarını ihlal ederek yapıldı ve hukuki, düzenleyici ve güvenlik riskleri nedeniyle yasaklandı.
Distilasyon Saldırılarının Teknik Detayları
Distilasyon, daha güçlü bir yapay zeka modelinin çıktıları kullanılarak daha küçük ve ekonomik bir modelin eğitilmesi yöntemidir. Ancak burada rakip şirketler, bu yöntemi yasal olmayan şekilde kullanarak öncü modellerin yeteneklerini kendi başlarına geliştirmeleri gereken zaman ve maliyetten kaçınmak için kullanıyor. Bu yasa dışı distile edilmiş modeller, gerekli güvenlik önlemlerinden yoksun olup önemli ulusal güvenlik riskleri doğuruyor. Özellikle, bu modellerin korumasız yetenekleri, otoriter rejimlerin siber saldırılar, dezenformasyon kampanyaları ve kitlesel gözetim faaliyetlerinde kullanabileceği askeri ve istihbarat sistemlerinin temelini oluşturuyor.
Üç Ana Kampanya ve Hedef Yetkinlikler
Analiz edilen üç distilasyon kampanyası şunlardır:
- DeepSeek: Claude’un muhakeme yetenekleri ve rubrik bazlı değerlendirme görevleri hedeflendi; siyasi açıdan hassas sorgulara sansürsüz alternatifler üretmek için 150.000’den fazla etkileşimde bulunuldu.
- Moonshot AI: Ajan muhakemesi, araç kullanımı, kodlama ve bilgisayar görseli gibi alanlarda 3,4 milyondan fazla sorgu gerçekleştirildi.
- MiniMax: Claude’un ajan kodlama ve araç kullanımı yetenekleri 13 milyondan fazla sorguyla hedef alındı.
Bu kampanyalar, Claude’un en kritik yeteneklerini hedef alarak modelin kapsamlı şekilde kopyalanmasını amaçladı. İsteklerin hacmi ve yapısı, normal kullanım kalıplarından farklı olup kasıtlı yetenek çıkarımını yansıtıyor.
Proxy Ağları ve Sahte Hesapların Rolü
Saldırganlar, ticari proxy hizmetleri ve sahte hesaplardan oluşan “hydra küme” mimarileri kullanarak API trafiğini dağıttı. Bu yapı, tek bir başarısızlık noktasını ortadan kaldırıyor; bir hesap yasaklandığında yenisi hemen devreye giriyor. Örneğin, bir proxy ağı aynı anda 20.000’den fazla sahte hesabı yöneterek distilasyon trafiğini gerçek müşteri istekleriyle karıştırdı ve tespiti zorlaştırdı.
Siber Güvenlik Ekipleri İçin Öneriler
- API trafiğinde anormal istek hacmi ve yapısını izlemek için gelişmiş sınıflandırıcılar ve davranış parmak izi sistemleri kullanın.
- Sahte hesapların oluşturulmasını engellemek için güçlü kimlik doğrulama ve IAM politikaları uygulayın.
- Proxy ve VPN kullanımını tespit etmek için ağ segmentasyonu ve trafik analiz araçları entegre edin.
- Model çıktılarının güvenlik önlemlerini artırmak için distilasyon saldırılarına karşı özel filtreleme ve yanıt azaltma mekanizmaları geliştirin.
- Olay müdahale (incident response) süreçlerinde distilasyon saldırılarına özgü senaryoları dahil edin ve SOC ekiplerini bu konuda eğitin.
Saldırı Zinciri ve Teknik Özet
- Kullanılan yöntemler: Sahte hesaplar, ticari proxy hizmetleri, büyük hacimli API istekleri.
- Hedef yetenekler: Ajan muhakemesi, araç kullanımı, kodlama, bilgisayar görseli.
- Riskler: Ulusal güvenlik, askeri ve istihbarat sistemlerinin kötüye kullanımı, dezenformasyon.
- Önerilen savunma: Çok faktörlü kimlik doğrulama (MFA), gelişmiş EDR ve SIEM entegrasyonları, ağ segmentasyonu, proxy trafiği analizi.
Bu gelişmeler, Google Tehdit İstihbarat Grubu’nun Gemini modeli üzerindeki benzer distilasyon saldırılarını engelleme çabalarıyla paralel ilerliyor. Yapay zeka modellerine yönelik bu tür saldırılar, ortalama kullanıcılar için doğrudan risk oluşturmasa da, model geliştiricileri ve hizmet sağlayıcıları açısından ciddi tehditler barındırıyor.