« Tüm yayınlar

Anthropic yapay zekâ jailbreak'lerini CVE gibi puanlıyor

Anthropic, jailbreak ciddiyetini CVE gibi puanlayan CJS ölçeğini tanıttı; Claude Fable 5 bu çerçeveyle birlikte yayınlandı ve sektöre ortak risk dili sunuyor.

Anthropic, Claude Fable 5'i yeniden yayınlarken sektörün uzun süredir eksikliğini hissettiği bir şeyi ortaya koydu: AI jailbreak'lerinin ne kadar tehlikeli olduğunu ölçen standart bir çerçeve. Cyber Jailbreak Severity (CJS) skalası, CVSS'in yazılım açıklarında yaptığına benzer şekilde, jailbreak'leri CJS-0 (bilgilendirici, gerçek bir fayda sağlamıyor) ile CJS-4 (kritik, uzman seviyesinde çıktı üreterek gerçek saldırıları hızlandırıyor) arasında derecelendiriyor. Puanlama; saldırganın elde ettiği yetenek artışı, tekniğin farklı saldırı türlerine ne kadar uygulanabildiği, silahlaştırma kolaylığı ve keşfedilebilirlik olmak üzere dört eksende yapılıyor ve seviyeler doğrusal değil katlanarak artıyor.

Aynı zamanda Fable 5 için dört katmanlı bir kullanım sınıflandırması da devreye girdi: fidye yazılımı ve kötü amaçlı yazılım geliştirme gibi tamamen yasak kullanımlar, sızma testi ve exploit geliştirme gibi varsayılan olarak engellenen yüksek riskli çift kullanımlı senaryolar, OSINT gibi güvenlik marjıyla izin verilen düşük riskli kullanımlar ve güvenli kod yazımı gibi tamamen serbest bırakılan zararsız kullanımlar. Anthropic, Fable 5'in güvenlik marjını önceki modellere göre bilinçli olarak daha geniş tuttuğunu, bunun da meşru isteklerin daha sık engellenmesine yol açabileceğini ama lansmanda temkinli davranmayı tercih ettiklerini belirtiyor.

Bu çabanın asıl önemi, düzenleyiciler, tedarik ekipleri ve olay müdahale birimlerinin AI kaynaklı risklerini tutarlı bir dille tartışabilmesini sağlayacak ortak bir sözlük yaratma potansiyelinde yatıyor. Anthropic çerçeveyi taslak olarak sunup geri bildirim istiyor ve Fable 5 jailbreak'lerini değerlendirmek için bir HackerOne programı açtı; bu, girişimin yalnızca bir iletişim hamlesi değil, gerçek bir standartlaşma çabası olduğunu gösteriyor.

Güvenlik araştırmacıları için HackerOne programı aktif kullanılabilir durumda, Fable 5'i değerlendiren ekiplerin siber güvenlik ile ilgili isteklerde daha fazla yanlış pozitifle karşılaşmayı beklemesi gerekiyor, ve AI politika çevrelerinin CJS taslağına şimdiden katkı sunması, çerçeve kalıcı hale gelmeden önce şekillenmesine yardımcı olabilir.