Chatbotlar uzun zamandır ortalıktalar ve küresel chatbot pazarının büyüklüğüne (ve beklenen büyümeye) bağlı olarak, uzun süre ortalıkta kalacaklar ve önem kazanacaklar. Geçmişte müşteri beklentilerini nadiren karşıladılar veya çok fazla olumlu deneyim sağladılar. Ancak son birkaç yılda, konuşmaya dayalı yapay zekadaki ilerlemeler, bunların kullanılma biçimini değiştirdi. Chatbotlar geniş bir uygulama yelpazesi sunduğundan bazı durumlarda kişisel bilgilerin toplanması ve korunmasından da sorumlu hale geliyorlar. Sonuç olarak, bilgisayar korsanları ve kötü niyetli saldırılar için de büyük bir çekim noktasıdırlar. Chatbot güvenliğini sağlama sorumluluğu, GDPR'nin Avrupa'da uygulamaya konmasından sonra daha da belirgin hale geldi. İstatistikler bu teknolojinin hayatımızda belirleyici bir faktör olacağını gösterdiğinden, bu chatbotların güvenle kullanılabilmesi için güvenlik testlerinin de günlük görevlerimizin bir parçası haline gelmesi gerekiyor.
Kelimeler risk, tehdit ve güvenlik açığı Bilgisayar güvenliği hakkında okurken sıklıkla karıştırılır veya birbirinin yerine kullanılır; bu nedenle öncelikle terminolojiyi açıklığa kavuşturalım:
- Güvenlik Açığı yazılımınızdaki (veya donanımınızdaki veya süreçlerinizdeki veya ilgili herhangi bir şeydeki) bir zayıflığı ifade eder. Başka bir deyişle, bu bir yol Bilgisayar korsanları sistemlerinize girip onları istismar edebilir.
- A tehdit bir güvenlik açığından yararlanır ve bir varlığın kaybolmasına, hasar görmesine veya tahrip olmasına neden olabilir - tehditler güvenlik açıklarından yararlanıyor
- Risk varlıkların kaybolması, hasar görmesi veya yok edilmesi olasılığını ifade eder - tehditler + güvenlik açığı = risk!
Tanınmış OWASP Top 10 bir web uygulaması için en önemli güvenlik risklerinin listesidir. Piyasadaki çoğu sohbet robotu genel bir web arayüzü üzerinden kullanılabilir ve bu nedenle tüm OWASP güvenlik riskleri bu sohbet robotları için de geçerlidir. Bu risklerden korunmak için özellikle önemli olan iki risk vardır; diğer risklerin aksine bu ikisi neredeyse her zaman ciddi bir tehdittir: XSS (Siteler Arası Komut Dosyası Çalıştırma) ve SQL Enjeksiyonu.
Ayrıca yapay zeka destekli sohbet robotları için artan bir risk söz konusudur. Hizmet Reddi Daha yüksek miktarda bilgi işlem kaynağı nedeniyle saldırılar.
1. Konuşmaya Dayalı Yapay Zeka Müşteri Hizmetlerini Nasıl Otomatikleştirebilir?
2. Otomatik ve Canlı Sohbetler: Müşteri Hizmetlerinin Geleceği Nasıl Görünecek?
3. COVID-19 Pandemisinde Tıbbi Asistan Olarak Chatbotlar
4. Chatbot'a Karşı Akıllı Sanal Asistan — Fark nedir ve Neden Bakım?
Bir chatbot kullanıcı arayüzünün tipik bir uygulaması:
- Giriş kutusu olan bir sohbet penceresi var
- Kullanıcının giriş kutusuna girdiği her şey sohbet penceresine yansıtılır
- Sohbet botunun yanıtı sohbet penceresinde gösteriliyor
XSS güvenlik açığı ikinci adımdadır; kötü amaçlı Javascript kodu içeren metin girilirken, XSS saldırısı, web tarayıcısı enjekte edilen kodu çalıştırırken gerçekleştirilir:
alert(document.cookie)
Olası Saldırı Vektörü
Bir XSS güvenlik açığından yararlanmak için saldırganın kurbanı kötü niyetli girdi metni göndermesi için kandırması gerekir.
- Saldırgan, kurbanı, köprüde bazı kötü amaçlı kodlar bulunan, chatbot'a işaret eden bir köprüye tıklaması için kandırır
- Kötü amaçlı kod web sitesine enjekte edilir, kurbanın çerezlerini okur ve kurban farkına bile varmadan bunu saldırgana gönderir.
- Saldırgan, kurbanın şirket web sitesindeki hesabına erişmek için bu çerezleri kullanabilir.
Savunma
Bu güvenlik açığının, kullanıcı girdisini doğrulayarak ve temizleyerek savunmak aslında kolaydır, ancak yine de bunun tekrar tekrar gerçekleştiğini görüyoruz.
Görev odaklı bir chatbot arka ucunun tipik bir uygulaması:
- Kullanıcı chatbot'a bazı bilgiler verir
- Chatbot arka ucu, bu bilgi öğesi için bir veri kaynağını sorgular
- Sonuca bağlı olarak doğal bir dil yanıtı oluşturulur ve kullanıcıya sunulur
SQL Injection ile saldırgan, kötü amaçlı içeriği bilgi öğesinin bir parçası olarak kabul etmesi için chatbot arka ucunu kandırır:
sipariş numaram “1234; SİPARİŞLERDEN SİLİN”
Olası Sohbet Robotu Saldırı Vektörü
Saldırganın chatbot'a kişisel erişimi olduğunda, SQL enjeksiyonu doğrudan saldırgan tarafından kullanılabilir (yukarıdaki örneğe bakın), her türlü SQL (veya SQL'siz) sorgusu yapılabilir.
Savunma
Geliştiriciler genellikle enjeksiyon saldırılarına karşı savunma yapmak için tokenizer'larına ve varlık çıkarıcılarına güvenirler. Ayrıca, kullanıcı girişinin basit düzenli ifade denetimleri çoğu durumda bu güvenlik açığını kapatacaktır.
Yapay zeka, özellikle son teknoloji ürünü doğal dil anlama (NLU) algoritmalarında olduğu gibi derin öğrenme söz konusu olduğunda yüksek hesaplama gücü gerektirir. Hizmet Reddi (DoS) saldırısı, bir kaynağı kullanılamaz hale getirme Tasarlandığı amaç doğrultusunda sohbet robotlarının, Hizmet Reddi (DoS) saldırılarına karşı, yüksek düzeyde optimize edilmiş veritabanı sistemlerine dayanan olağan arka uçlara göre daha savunmasız olduğunu hayal etmek zor değil. Bir chatbot çok fazla sayıda istek alırsa meşru kullanıcıların kullanımına sunulamayabilir. Bu saldırılar büyük yanıt gecikmelerine, aşırı kayıplara ve hizmet kesintilerine neden olarak kullanılabilirliği doğrudan etkiler.
Olası Sohbet Robotu Saldırı Vektörü
Tipik bir DoS saldırısı, mevcut kaynakları kasıtlı olarak tüketmek için chatbot'a çok sayıda büyük istek gönderir. Öyle olacak ki Bilgi işlem kaynakları artık meşru kullanıcılar tarafından kullanılamamaktadır.
Ancak göz önünde bulundurulması gereken ek bir risk daha var: Chatbot geliştiricilerinin bunu kullanması oldukça yaygındır. bulut tabanlı hizmetler IBM Watson veya Google Dialogflow gibi. Seçilen plana bağlı olarak, geçerli olabilecek kullanım sınırları ve/veya kotalar vardır. bitkin oldukça hızlı bir şekilde - örneğin, Google Dialogflow Essential ücretsiz plan sınırları Dakikada 180 isteğe erişim, diğer tüm istekler reddedilecektir. Sınırsız kullanıma dayalı bir plan için, artan istek sayısı nedeniyle bir DoS saldırısı kolayca bir servete mal olabilir.
Savunma
Hizmet Reddi saldırılarına karşı savunmaya yönelik yerleşik yöntemler, sohbet robotları için de geçerlidir.
Yukarıdaki savunma stratejilerinin yanı sıra, sistem ihlali risklerini azaltmaya yönelik genel kurallar da vardır.
Doğal olarak, güvenlik açıklarına karşı savunmanın en iyi yolu, bunların olmasına bile izin vermem ilk başta. Yazılım geliştiricileri, sistem güvenliğini günlük geliştirme rutinlerinin bir parçası olarak dikkate almak için özel eğitim almalıdır. Geliştirme ekibinde zihniyetin ve süreçlerin oluşturulması ilk ve en önemli adımdır.
Güvenlik testi, sürekli test hattınızın bir parçası olmalıdır. Sürüm zaman çizelgesinde bir güvenlik açığı ne kadar erken tespit edilir ve düzeltilirse o kadar ucuz olur.
OWASP Top 10'u temel alan temel testler API düzeyinde ve End-2-End düzeyinde yapılmalıdır. Tipik olarak, SQL Enjeksiyonlarına karşı savunma en iyi API düzeyinde (hız nedeniyle) test edilirken, XSS'ye karşı savunma en iyi End-2-End düzeyinde (Javascript yürütme nedeniyle) test edilir.
Gibi özel araçlar botyum Sohbet robotları için sürekli güvenlik testi hattınızı kurmanıza yardımcı olun.
Chatbot'lar, müşteriye yönelik diğer web uygulamalarıyla aynı türdeki güvenlik açıklarını, tehditleri ve riskleri açar. Chatbotların doğasından dolayı bazı güvenlik açıkları diğerlerinden daha olasıdır ancak iyi oluşturulmuş savunma stratejileri chatbotlar için işe yarayacaktır.
- &
- 2022
- Hakkımızda
- erişim
- Hesap
- ilave
- Ek
- AI
- algoritmalar
- Türkiye
- api
- Uygulama
- uygulamaları
- etrafında
- yapay
- yapay zeka
- varlık
- Varlıklar
- Asistan
- saldırılar
- Otomatik
- kullanılabilirliği
- mevcut
- İYİ
- kutu
- ihlalleri
- tarayıcı
- hangi
- durumlarda
- Sebeb olmak
- chatbot
- chatbots
- Çekler
- kod
- Toplama
- ortak
- şirket
- Bilgisayar Güvenliği
- bilgisayar
- işlem gücü
- güven
- içerik
- sürekli
- kurabiye
- kurabiye
- olabilir
- Covid-19
- Müşteri Hizmetleri
- DA
- veri
- veritabanı
- derin öğrenme
- Savunma
- gecikmeleri
- Hizmet Reddi
- yok
- belirlenmesi
- geliştiriciler
- gelişme
- diyalog akışı
- DX
- kolayca
- Efekt
- girer
- özellikle
- kurulmuş
- EU
- AVRUPA
- EV
- örnek
- infaz
- deneyim
- sömürmek
- EY
- karşı
- Ad
- odaklanmış
- takip et
- gelecek
- KVKK
- Küresel
- harika
- Büyüme
- hackerlar
- donanım
- yardım et
- Yüksek
- Ne kadar
- HP
- hr
- HTTPS
- ia
- IBM
- IBM Watson
- darbe
- önemli
- Dahil olmak üzere
- artmış
- bilgi
- İstihbarat
- Akıllı
- ilgili
- IT
- JavaScript
- Kx
- dil
- büyük
- öğrenme
- seviye
- Liste
- Uzun
- LP
- pazar
- tıbbi
- orta
- Daha
- çoğu
- Doğal lisan
- Doğal Dil Anlayışı
- Tabiat
- NLU
- teklif
- açık
- sipariş
- Diğer
- Diğer
- kişisel
- güç kelimesini seçerim
- güzel
- Süreçler
- halka açık
- menzil
- Okuma
- serbest
- kaynak
- Kaynaklar
- yanıt
- Risk
- kurallar
- koşu
- güvenlik
- güvenlik testi
- ayar
- Basit
- beden
- So
- Yazılım
- hız
- SQL
- SQL Injection
- istatistik
- sistem
- Sistemler
- Teknoloji
- anlatır
- Test yapmak
- testleri
- Gelecek
- tehditler
- zaman
- araçlar
- üst
- Eğitim
- Güven
- kullanıcılar
- Sanal
- sanal asistan
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- Watson
- ağ
- Web Uygulamaları
- web tarayıcı
- Web sitesi
- Ne
- olmadan
- sözler
- İş
- XSS
- XSS güvenlik açığı
- yıl