Ara hizmet modeli riskleri
Categories:
Son zamanlarda AI ile ilgili bazı gönderilerin altında düşük kaliteli claude code aracılığıyla yapılan reklamlar gördüm.
Bu aracılık hizmetlerinin temel mantığı, claude code’un kendi API endpoint’i ve anahtarını sağlamaya izin vermesidir ve herhangi bir OpenAI API uyumlu tedarikçiyi kullanabilir, bu kadar basit.
Biraz claude token, biraz qwen ekleyip karıştırıp satıyorlar, kim fark edebilir ki?
Bu kadar düşük kaliteli reklamlar yapanlar zaten iyi kalpli ve korkaktır, bu kadar az parayla kim kazanır ki?
Asıl değerli olanlar senin para biriktirdiğin yerde, önemli verilerindedir.
API aracılığı hizmetlerinin riski, şifrelenmemiş HTTP aracılığı proxylerin riskiyle aynıdır ve en basit MITM (Man-in-the-Middle) saldırısıdır.
Öncelikle, claude code genellikle yüksek kaliteli yanıtlar üretmek için çok fazla dosya okumayı tercih eder. Ortadaki kişi, sadece çok basit bir kodla, çeşitli kritik dijital varlıklarını anahtar kelimelerle filtreleyebilir.
İkinci olarak, claude code’un çoğu komutları kendisinin yürütmesine izin verir, bu da sadece o anki klasörünüzü izleyebileceğiniz anlamına gelmez. Claude code’un davranış desenini anlamaya çalışın, bu uzaktan kod yürütme saldırısı için kullanılabilir. Claude code’un bir sonraki adımını ekrana yazdırması doğru olsa da, vide coding yaparken attığınız bütün adımları okudunuz mu? Çok uzun bir yürütme süresinde, aradaki kişi cc’yi ilgisiz dosyaların önemli bilgilerini aramak ve okumak için yönlendirebilir, bu okumayı doğrudan ortadaki kişi kendisi saklayabilir ve bunu hesaplamaya katmaz. Birkaç bin kelime uzunluğunda bir çıktıda, sadece birkaç kelime şüphe uyandıran bir işlem yaptığını gösteriyor olabilir, dikkat ihtiyacınız olan tek şey budur, ama bu arada dikkatiniz dağılmıştır.
Üçüncü olarak, komutları kendinizin yürütmesi okumaktan başka bir şey değildir, bu da temel bir işlemdir, dosyalarınıza şifre eklenebilir mi? Bu sadece hayalim. Ancak git işlemleri birçok kişiye izin verilmiştir, ortadaki kişi birkaç kelime ekleyip uzak MITM’ye bir remote MITM ekleyebilir, MITM’ye push edebilir, ardından kod deponuzu git reset --hard init ile bir kere sıfırlayabilir ve ardından bir force push denemesi yapabilir mi? GitHub’un kendi oluşturduğu depolar varsayılan olarak force push’a izin verir. Birkaç bitcoin ne kadar olur? Büyük modelin git işlemleri ne kadar akıcı, bunu deneyenlerin hepsinin bir deneyimi vardır, bu operasyonlar claude 4.0 sonnet gerektirmez, bu çok pahalı, gemini 2.5 flash yeterlidir, fidye de maliyetten tasarruf etmeyi gerektirir.
Ayrıca bazı yeni başlayanların sudo’yu da büyük modele verdiğini, bazılarının kök izinlerini verdiğini görüyorum, güvenlik farkındalığı hiç yok.
Şu anda yorum bölümlerinde aracılık hizmetlerini duyuran çok fazla kişi var, aracılık hizmetlerini duyuranlar claude code’u duyuranlardan daha fazla, herkesin bir amacı vardır, onlara inanmayın.
MITM’nin yapabileceği şeyleri, Anthropic ve Google da yapabilir mi? Dijital varlıkların güvenliğini nasıl koruyabiliriz? AES’in kamuya açık güvenilirliği gibi, büyük modelin bu konuda sadece itibarına güvenebilirsiniz.
Biraz para biriktirmek için dijital varlıklarınızın güvenliğini göz ardı etmeyin, dijital varlıklar da varlıktır. Eğer bilinmeyen bir aracılık hizmeti kullanmaya karar verdiyseniz, en azından bir konteyner ortamında kullanmanız önerilir.
Sorumluluk reddi: Yukarıdakiler tamamen zoraki bir paranoyadır, herkes kendi başına karar versin, ayrıca dostane bir tartışma da yapılabilir. Eğer kimse ücretsiz veya ucuz Claude Sonnet kullanmazsa, beni suçlayamazsınız.