Cal.com, yapay zeka güvenlik tehditleri nedeniyle açık kaynaktan kapalı kaynağa geçiyor

 (cal.com)
2 puan yazan GN⁺ 14 일 전 | 1 yorum | WhatsApp'ta paylaş
  • 5 yıldır açık kaynak olarak işletilen Cal.com, yapay zeka tabanlı güvenlik tehditlerindeki artış nedeniyle kapalı kaynağa geçme kararı aldı
  • Yapay zekanın kod tabanını otomatik analiz ederek zafiyet bulduğu bir döneme girilirken, açık kod saldırganlar için doğrudan bir ipucu haline gelmiş durumda
  • Şirket, müşteri verilerini korumak için açık kaynağı sürdürmek ile güvenlik riski arasında ikincisini seçti
  • Açık kaynak ruhunu sürdürmek için Cal.diy projesini MIT lisansıyla yayımladı ve topluluk için kendi kendine barındırılabilen bir sürüm sundu
  • Yapay zeka mevcut güvenlik çerçevelerini aşan bir hızla gelişirken, Cal.com güvenlik istikrarı sağlandıktan sonra yeniden açık kaynağa dönme isteğini dile getirdi

Cal.com'un açık kaynağı sonlandırma kararı ve yapay zeka güvenlik tehditleri

  • Cal.com, 5 yıldır açık kaynak olarak faaliyet gösteriyordu ancak yapay zeka tabanlı güvenlik tehditlerindeki hızlı artış nedeniyle kapalı kaynağa (Closed Source) geçme kararı aldı
    • Müşteri verilerinin korunmasını en yüksek öncelik olarak gördüğünü, açık kaynağı sürdürmenin artık güvenli olmadığını değerlendirdiğini belirtti
    • Bunun “kolay bir seçim olmadığını” ifade etti
  • Geçmişte uygulama zafiyetlerinden yararlanmak için yetkin bir saldırganın zaman ve emek harcaması gerekirken, artık yapay zekanın kod tabanını otomatik tarayarak açık bulduğu bir döneme geçildi
    • Açık kaynak kodun saldırganlara “kasayı yapım planıyla birlikte vermek” gibi olduğunu söyledi
    • Yapay zeka güvenlik girişimleri bu yeteneği ticarileştirirken, her birinin farklı zafiyetler tespit etmesi nedeniyle güvenilebilecek tek bir güvenlik standardı oluşturmanın zorlaştığı ifade edildi
  • Cal.com, iki seçenekten birini seçmek zorunda kaldığını söyledi
    • Açık kaynağı sürdürüp müşteri verilerini riske atmak ya da,
    • Kapalı kaynağa geçerek riski azaltmak
    • Bunun kusursuz bir çözüm olmadığını, ancak kullanıcıları korumak için kaçınılmaz bir karar olarak görüldüğünü belirtti
  • Açık kaynak ruhunu sürdürmek için Cal.diy adlı ayrı bir projeyi MIT lisansı ile yayımladı
    • Cal.diy; geliştiricilere ve hobi amaçlı kullanıcılara açık, kendi kendine barındırılabilen topluluk odaklı bir sürüm
    • Ana hizmetin kod tabanı; kimlik doğrulama ve veri işleme sistemleri gibi çekirdek yapılarda büyük değişiklikler geçirdiği için Cal.diy'den teknik olarak ayrılmış durumda
  • Yapay zekanın güvenlik ortamını hızla değiştirdiği, ayrıca yapay zekanın BSD çekirdeğindeki 27 yıllık bir zafiyeti birkaç saat içinde bulup exploit ürettiği bir örnekten de söz edildi
    • Bu hız ve hassasiyet, mevcut güvenlik müdahale çerçevelerini geride bırakıyor
    • Cal.com, müşterilerini, uygulamasını ve hassas verileri korumak için mümkün olan her adımı attığını, güvenlik ortamı istikrara kavuşursa yeniden açık kaynağa dönmek istediğini ifade etti

Gelecek yönelim ve mesaj

  • Şu anda güvenlik risklerini azaltmak ve kullanıcıları korumak en yüksek öncelik
  • Açık kaynak topluluğuyla ilişki Cal.diy üzerinden sürdürülüyor
  • Uzun vadede, güvenlik ortamının evrimine bağlı olarak açık kaynağa dönüş olasılığı açık tutuluyor
  • Bu karar, yapay zeka çağındaki güvenlik gerçekliğinin yazılım dağıtım modellerini doğrudan etkilediğini gösteren bir örnek

İlgili okumalar

1 yorum

 
GN⁺ 14 일 전
Hacker News görüşleri

  • Drew Breunig'in dün paylaştığı yazı tam ters bir sonuca varıyor
    Artık güvenlik açıkları, token kullanılarak bulunabilen bir kaynak haline geldiği için, açık kaynak aslında daha değerli.
    Açık kaynakta birden fazla proje denetim maliyetini paylaşabilir, ama kapalı kaynakta tüm açıkları tek başına bulmak gerekir.

    • O yazıyı burada tekrar paylaşmış. Başlığı Cybersecurity looks like proof of work now
    • Asıl sebep, yapay zekanın ürünü telif hakkı aklama (copyright-wash) yoluyla kullanmasını engellemek gibi görünüyor. Güvenlik bahane ediliyor hissi veriyor.
    • Bu sonuç kulağa daha ikna edici geliyor. Mythos'un ortaya çıkmasının üzerinden daha birkaç hafta geçti; ilkeleri bu kadar hızlı değiştirmek tuhaf. Muhtemelen ticari nedenler vardı ve şimdi kamuya satılabilecek uygun bir gerekçe bulunmuş gibi.
    • Ekonomik açıdan da mantıklı bir sonuç. Sonuçta ya token maliyetini karşılayacak kadar değer üretmek ya da açık bulmanın ekonomik getirisini azaltmak gerekir.
      Bu, dağıtım kapsamını daraltarak veya sistem yetkilerini düşürerek yapılabilir.
      Gelecekte bunun "açık spesifikasyon + model tabanlı kod üretimi" biçimine evrileceği düşünülüyor. Güvenlik ve yönetişim muhtemelen model katmanında gerçekleşecek.
    • “Sistemi güçlendirmek için saldırganın kullanacağından daha fazla token harcamak gerekir” sözü tuhaf. Kararlı bir yazılımda saldırı yüzeyi azalmalıdır ve Mythos yeni açıklar üretmez. Savunmacı tarafın token açısından avantajlı olması gerekir.

  • Thunderbird projesinin sorumlusuyum. Takvim planlama aracımız Thunderbird Appointment her zaman açık kaynak olarak kalacak
    GitHub deposunda birlikte geliştirmeye davet ediyor. Cal.com'a alternatif olabilmesi için yardımcı olacaklarını söylüyor.

    • README'ye ya da giriş öncesi ekrana ekran görüntüleri eklenmesi iyi olurdu. Araç iyi görünüyor ama barındırılan sürümün fiyatı merak ediliyor.
    • Ancak eski Linux dizüstülerinde Thunderbird çok ağır. Düşük donanımlı kullanıcıların da düşünülmesi isteniyor. İnternetin makul ölçüde hafif kalması yönünde bir talep var.
    • Siteye girip e-posta adresini yazınca bekleme listesine göndermiş, ardından da e-postayı engellemiş. Kullanıcı deneyimi pek iyi değilmiş.
    • “Bizimle birlikte geliştirin” sözüne şakayla, “O zaman bir randevuya (appointment) mı ihtiyaç var?” diye karşılık verilmiş.
    • Bunun iyi bir alternatif gibi göründüğünü söyleyen olumlu yorumlar da var.

  • LLM'ler kod güvenlik açıklarını bu kadar iyi bulabiliyorsa, sürüm öncesinde kurum içi bir LLM pentest'i çalıştırmak yeterli olmaz mı?
    Linus yasasının(bağlantı) sanki ancak şimdi gerçeğe dönüştüğü hissediliyor.

    • Ancak sürümden sonra saldırganlar kodu sınırsız zamanla ve giderek daha akıllı hale gelen LLM'lerle analiz edebilir.
      Savunma için, saldırganın yapabileceği her şeyi her sürümden önce önceden yapmak gerekir.
    • LLM'ler geliştikçe FOSS bakımının zaman ve insan gücü maliyeti hızla artıyor.
      Yapay zekanın ürettiği düşük kaliteli issue ve PR'lar çoğaldıkça açık kaynağı sürdürme teşviki azalıyor.
      Ticari ürünler FOSS çekirdeği üzerine kurulduğunda bu tür geçişlerin daha da artacağı düşünülüyor.
    • Kapalı kaynakta LLM'ler içeride kullanılarak güvenlik güçlendirilebilir.
      Ama dışarıya saldırı fırsatı bırakmamak için kapatmayı da anlaşılır bulanlar var.
    • Commit'in sık olduğu ortamlarda her seferinde tüm kod tabanını LLM ile taramak gerektiğinden maliyet patlıyor.
      GitHub gibi yerlerde bile statik analiz maliyeti zaten yüksek.
    • Sonuç olarak basit kod yazmanın ve derleyici seviyesinde de LLM güvenlik testleri yapmanın daha iyi olduğu söyleniyor.

  • Bu karar güvenlikten çok ticari bir karar gibi görünüyor.
    Yapay zeka sayesinde self-hosting kolaylaştığı için, açık kaynak projelerin ücretli hosting gelirleri düşüyor.

    • İnsanlar LLM'leri kullanarak “pro özellikleri” kendileri geliştiriyor ya da genişletme noktalarını buluyor. Güvenlik sadece vitrin süsü gibi.
    • Suçu yapay zekaya atmak bahane. Yapay zeka zaten kod üzerinden eğitildi. Genetik algoritmalar + fuzzing birleşince insanlardan çok daha hızlı öğreniyor.
    • Artık her şeyin suçu yapay zekaya atılıyor. Personel azaltımı da, ürün sonlandırmaları da, kaynak kodunu kapatma da sanki hep yapay zeka yüzündenmiş gibi sunuluyor.
    • Google Workspace'in randevu aracı gibi ürünlerle bu alan zaten emtialaşıyor (commoditized).
    • Sonunda buna “kendini satmış” diyen eleştiriler de geliyor.

  • Potansiyel bir müşteri olarak Cal.com'un kararından hayal kırıklığına uğradım.
    Açık kaynak, şeffaf SSDLC sayesinde güven kazanabilir; kapalı kaynakta ise satıcıya güvenmekten başka seçenek yok.
    Drew Breunig'in argümanına katılmıyorum. Hata sayısı sonludur; yeterince güçlü bir model kodu düzenli olarak tararsa kalan açıkların olasılığı hızla düşer.

  • “Yapay zeka açık kaynak kodu tarayabiliyorsa?” → O zaman hataları düzeltmek gerekir.
    Bu mantık hiç ikna edici değil.

  • “Yapay zeka koda erişebildiği için kapatıyoruz” söylemi sadece bir bahane

    • Asıl neden yapay zeka ya da güvenlik değil, clone projelerin fazlalığı nedeniyle gelirin düşmesi.

  • Bu tür kararlar sonuçta gizlilik yoluyla güvenlik (Security through obscurity) gibi görünüyor.
    Bunun ne zamandan beri doğru model sayıldığı sorgulanıyor.

    • Gizlilik, birincil savunma yöntemi olarak değil ancak ikincil bir caydırıcılık aracı olduğunda işe yarar.
    • Saldırı yüzeyini azaltmak gizlilik değil, saldırı vektörlerini en aza indirme stratejisidir.
    • Yine de bunu “gizlilik olmadan güvenlik”ten daha iyi bulanlar da var.
    • Kurucu ortaklardan biri, “yan komşunun 16 yaşındaki çocuğu 15 dakikada ve 100 dolara sistemi hackleyebilir” demiş.
    • İnsanlar sanki neden “güvenliği gizlilikle sağlamayalım” diye bir ilkenin ortaya çıktığını unutmuş gibi.
      Geçmiş kuşaklar aptal olduğu için değil; bu, ilk bakışta iyi görünse de başarısız olmuş bir yaklaşım olduğu için böyle.

  • Cal.com'un “açık kaynağa inandık” sözü boş geliyor.
    Gerçekten samimi olsalardı böyle anlamsız mazeretler üretmezlerdi.

  • Bu, yapay zekadan önce de ileri sürülebilecek bir bahaneydi.
    Asıl mesele, çekirdek ürünün yeterince farklılaşmaması ve geliri koruma çabası gibi görünüyor.
    Sonuçta bu sadece geliri korumaya yönelik bir hamle.