Πώς οι Κοινές Προφυλάξεις Κυβερνοασφάλειας Εφαρμόζονται στην Παραγωγική Τεχνητή Νοημοσύνη
Η παραγωγική τεχνητή νοημοσύνη (AI) έχει αναδειχθεί ως μία από τις πιο καυτές λέξεις-κλειδιά στον τεχνολογικό τομέα, ιδιαίτερα μετά την κυκλοφορία του ChatGPT. Δύο χρόνια αργότερα, η Microsoft αξιοποιεί τα μοντέλα της OpenAI και απαντά σε ερωτήσεις πελατών σχετικά με το πώς η AI αλλάζει το τοπίο της ασφάλειας. Ο Siva Sundaramoorthy, ανώτερος αρχιτέκτονας λύσεων ασφαλείας στο cloud της Microsoft, συχνά απαντά σε αυτές τις ερωτήσεις. Στις 14 Οκτωβρίου 2024, στο ISC2 στο Λας Βέγκας, ο Sundaramoorthy παρουσίασε τις δυνατότητες και τους κινδύνους ασφαλείας της παραγωγικής AI σε επαγγελματίες της κυβερνοασφάλειας.
Κίνδυνοι Ασφαλείας από τη Χρήση Παραγωγικής Τεχνητής Νοημοσύνης
Κατά τη διάρκεια της ομιλίας του, ο Sundaramoorthy εξέφρασε ανησυχίες σχετικά με την ακρίβεια της παραγωγικής AI. Υπογράμμισε ότι η τεχνολογία λειτουργεί ως προβλεπτικός μηχανισμός, επιλέγοντας την πιο πιθανή απάντηση, αν και άλλες απαντήσεις μπορεί επίσης να είναι σωστές ανάλογα με το πλαίσιο. Οι επαγγελματίες της κυβερνοασφάλειας πρέπει να εξετάζουν τις περιπτώσεις χρήσης της AI από τρεις γωνίες: χρήση, εφαρμογή και πλατφόρμα.
Εφαρμογή και Πλατφόρμα: Τρεις Γωνίες Ανάλυσης
Ο Sundaramoorthy τόνισε τη σημασία της κατανόησης της περίπτωσης χρήσης που προσπαθείτε να προστατεύσετε. Πολλοί προγραμματιστές και υπάλληλοι εταιρειών βρίσκονται στον τομέα της εφαρμογής, όπου δημιουργούν εφαρμογές με AI. Κάθε εταιρεία έχει ένα bot ή μια προεκπαιδευμένη AI στο περιβάλλον της. Αφού εντοπιστούν η χρήση, η εφαρμογή και η πλατφόρμα, η AI μπορεί να ασφαλιστεί παρόμοια με άλλα συστήματα, αν και όχι πλήρως.
Επτά Κίνδυνοι Υιοθέτησης της Παραγωγικής AI
Ο Sundaramoorthy ανέφερε επτά κινδύνους που σχετίζονται με την υιοθέτηση της παραγωγικής AI, όπως:
-
- Προκατάληψη
-
- Παραπληροφόρηση
-
- Απάτη
-
- Έλλειψη λογοδοσίας
-
- Υπερβολική εξάρτηση
-
- Δικαιώματα πνευματικής ιδιοκτησίας
-
- Ψυχολογική επίδραση
Η AI παρουσιάζει έναν μοναδικό χάρτη απειλών, αντιστοιχώντας στις τρεις γωνίες που αναφέρθηκαν παραπάνω. Η χρήση της AI στην ασφάλεια μπορεί να οδηγήσει σε αποκάλυψη ευαίσθητων πληροφοριών, σκιώδη IT από εφαρμογές ή plugins τρίτων, ή κινδύνους από εσωτερικές απειλές.
Στρατηγικές Επίθεσης και Αμυντικές Προσεγγίσεις
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν στρατηγικές όπως οι μετατροπείς προτροπών, χρησιμοποιώντας τεχνικές απόκρυψης ή σαφώς κακόβουλες οδηγίες για να παρακάμψουν τα φίλτρα περιεχομένου. Μπορούν να εκμεταλλευτούν τα συστήματα AI και να δηλητηριάσουν τα δεδομένα εκπαίδευσης, να εκτελέσουν εισαγωγή προτροπών, να εκμεταλλευτούν τον ανασφαλή σχεδιασμό plugins, να ξεκινήσουν επιθέσεις άρνησης υπηρεσίας ή να αναγκάσουν τα μοντέλα AI να διαρρεύσουν δεδομένα.
Ισορροπία Κινδύνων και Οφελών της AI
Ο Sundaramoorthy χρησιμοποιεί συχνά το Copilot της Microsoft και το βρίσκει πολύτιμο για τη δουλειά του. Ωστόσο, σημειώνει ότι η αξία της AI είναι τόσο υψηλή που οι χάκερς την στοχεύουν. Άλλα σημεία που πρέπει να προσέξουν οι ομάδες ασφαλείας περιλαμβάνουν:
-
- Η ενσωμάτωση νέας τεχνολογίας ή αποφάσεων σχεδιασμού εισάγει ευπάθειες.
-
- Οι χρήστες πρέπει να εκπαιδευτούν για να προσαρμοστούν στις νέες δυνατότητες AI.
-
- Η πρόσβαση και επεξεργασία ευαίσθητων δεδομένων με συστήματα AI δημιουργεί νέους κινδύνους.
- Η διαφάνεια και ο έλεγχος πρέπει να διατηρούνται καθ’ όλη τη διάρκεια ζωής της AI.
Αξιόπιστοι Τρόποι Ασφάλισης Λύσεων AI
Παρά την αβεβαιότητα γύρω από την AI, υπάρχουν δοκιμασμένοι και αξιόπιστοι τρόποι για να ασφαλίσετε λύσεις AI με επαρκή τρόπο. Οργανισμοί όπως οι NIST και OWASP παρέχουν πλαίσια διαχείρισης κινδύνου για την εργασία με παραγωγική AI. Η MITRE δημοσιεύει τη Μήτρα ATLAS, μια βιβλιοθήκη γνωστών τακτικών και τεχνικών που χρησιμοποιούν οι επιτιθέμενοι κατά της AI.
Χρήση ή Μη Χρήση της AI
Η συγγραφέας και ερευνήτρια AI, Janelle Shane, που μίλησε στο ISC2 Security Congress, ανέφερε ότι μια επιλογή για τις ομάδες ασφαλείας είναι να μην χρησιμοποιούν AI λόγω των κινδύνων που εισάγει. Ο Sundaramoorthy, ωστόσο, διαφωνεί. Αν η AI μπορεί να έχει πρόσβαση σε έγγραφα που πρέπει να είναι απομονωμένα, αυτό δεν είναι πρόβλημα της AI, αλλά πρόβλημα ελέγχου πρόσβασης.
Συμπεράσματα
Η παραγωγική τεχνητή νοημοσύνη προσφέρει σημαντικές δυνατότητες αλλά και προκλήσεις ασφαλείας που πρέπει να αντιμετωπιστούν με προσοχή. Η ενσωμάτωση της AI στις διαδικασίες ασφαλείας απαιτεί ισορροπία μεταξύ των κινδύνων και των οφελών, ενώ οι οργανισμοί πρέπει να εξασφαλίζουν ότι τα δεδομένα χρηστών δεν εισέρχονται στα δεδομένα εκπαίδευσης μοντέλων μέσω κατάλληλης διαχείρισης δεδομένων.
