Инструменти с генеративен изкуствен интелект, като ChatGPT, превземат света. Както при всяка нова технология, CISO трябва да намерят начин да се възползват от възможностите, като същевременно защитават организацията от рисковете, свързани с генеративния изкуствен интелект и ChatGPT. Нека разгледаме възможностите и най-добрите практики за сигурност в тази статия.
Какво е Generative AI?
Генеративният ИИ е вид ИИ, който е фокусиран върху създаването и генерирането на ново съдържание с техники на машинно обучение. Това може да включва изображения, текст, музика или видеоклипове. За разлика от повечето ИИ подходи, които разпознават модели или правят прогнози въз основа на съществуващи данни, генеративният ИИ има за цел да произвежда оригинални и креативни продукти.
Генеративните модели на изкуствен интелект са базирани на LLM (модели на големи езици), което означава, че се обучават върху големи набори от данни. Те изучават основните модели и структури, присъстващи в данните, и ги превръщат в вероятностни модели. След това, когато им се даде „подкана“, те използват наученото знание, за да генерират ново съдържание, подобно на обучителните данни, но не е точно копие. В резултат на това, генеративните модели на изкуствен интелект могат да проектират реалистични изображения, да пишат свързани истории или стихотворения, да композират музика и дори да водят реалистични и човекоподобни разговори.
Една от често използваните рамки за генеративен изкуствен интелект се нарича GAN – Generative Adversarial Network (Генеративна състезателна мрежа). GAN се състоят от две невронни мрежи: генераторна мрежа и дискриминаторна мрежа. Генераторната мрежа генерира ново съдържание, докато дискриминаторната мрежа оценява генерираното съдържание и се опитва да го различи от реалните данни. Двете мрежи се обучават заедно в конкурентен процес, в който генераторът се стреми да произвежда все по-реалистично съдържание, което заблуждава дискриминатора, а дискриминаторът се стреми да стане по-добър в идентифицирането на генерираното съдържание. Това състезателно обучение води до създаването на висококачествено и разнообразно съдържание.
Инструментите за генеративен изкуствен интелект имат множество приложения, включително изкуство, дизайн, развлечения и дори медицина. Генеративният изкуствен интелект обаче повдига и етични съображения, като например потенциала за генериране на фалшиво съдържание, злоупотреба с технологията, предубеждения и рискове за киберсигурността.
ChatGPT е изключително популярен генеративен AI чатбот, пуснат през ноември 2022 г., който привлече широко внимание към концепцията и възможностите на инструментите за генеративен AI.
Какви са рисковете от генеративния изкуствен интелект?
Генеративният изкуствен интелект е свързан с няколко риска, за които екипите по сигурността трябва да са наясно, като например опасения за поверителността и фишинг. Основните рискове за сигурността включват:
Загриженост за поверителността
Моделите с генеративен изкуствен интелект се обучават върху големи количества данни, които могат да включват генерирано от потребители съдържание. Ако не са правилно анонимизирани, тези данни могат да бъдат разкрити по време на процеса на обучение и в процеса на разработване на съдържание, което да доведе до нарушения на данните. Такива нарушения могат да бъдат случайни, т.е. информацията се предоставя без потребителят да е възнамерявал тя да бъде публично споделена, или умишлено, чрез атаки чрез извод, в злонамерен опит за разкриване на чувствителна информация.
Съвсем наскоро служителите на Samsung постави чувствителни данни в ChatGPT, включително поверителен изходен код и бележки от частни срещи. Тези данни сега се използват за обучение на ChatGPT и могат да бъдат използвани в отговорите, предоставяни от ChatGPT.
Фишинг имейли и зловреден софтуер
Генеративният изкуствен интелект може да бъде използван от нападателите за генериране на убедително и подвеждащо съдържание, включително фишинг имейли, фишинг уебсайтове или фишинг съобщения, на множество езици. Той може да се използва и за представяне за доверени субекти и лица. Това може да увеличи процента на успех на... фишинг атаки и да доведат до компрометиране на лична информация или идентификационни данни.
Освен това, генеративният изкуствен интелект може да се използва за генериране на злонамерен код или варианти на зловреден софтуер. Такъв зловреден софтуер, задвижван от изкуствен интелект, може да се адаптира и развива въз основа на взаимодействията си с целевата система, подобрявайки способността си да заобикаля защитите и да атакува системи, като същевременно затруднява защитните механизми да ги смекчат.
Управление на достъпа
Нападателите могат да използват генеративен изкуствен интелект, за да симулират или генерират реалистични данни за достъп, като потребителски имена и пароли. Те могат да се използват за отгатване на пароли, плънка с достоверност и атаки с груба сила, позволяващи неоторизиран достъп до системи, акаунти или чувствителни данни. Освен това, генеративният изкуствен интелект може да създава измамни акаунти или профили, които могат да се използват за заобикаляне на процесите и системите за проверка и за достъп до ресурси.
Вътрешни заплахи
Инструментите за генеративен изкуствен интелект могат да бъдат злонамерено използвани от лица в организацията за неоторизирани дейности. Например, служител може да генерира фалшиви документи или да манипулира данни, което води до потенциална измама, подправяне на данни или кражба на интелектуална собственост. Служителите могат също така неволно да изтекат данни към тези инструменти, което води до нарушения на данните.
Увеличена повърхност за атака
Фирмите, които интегрират инструменти за генеративен изкуствен интелект в своя стек, потенциално въвеждат нови уязвимости. Тези инструменти могат да взаимодействат със системи и API, създавайки допълнителни входни точки за експлоатация от страна на атакуващите.
Начини, по които бизнесите могат да смекчат рисковете за сигурността, свързани с генеративния изкуствен интелект и ChatGPT
Генеративният изкуствен интелект крие възможности, но и рискове за сигурността. Бизнесът може да предприеме следните мерки, за да гарантира, че може да се възползва от предимствата на производителността и сигурността на ChatGPT, без да бъде изложен на рискове:
Оценка на риска
Започнете с картографиране на потенциалните рискове за сигурността, свързани с използването на инструменти за генеративен изкуствен интелект във вашия бизнес. Идентифицирайте областите, в които генеративният изкуствен интелект въвежда уязвимости в сигурността или потенциална злоупотреба. Например, можете да маркирате инженерната организация като група, изложена на риск от изтичане на чувствителен код. Или може да идентифицирате разширения на браузъра, подобни на ChatGPT, като риск и да изисквате тяхното деактивиране.
Контрол на достъпа, удостоверяване и оторизация
Внедрете силен контрол на достъпа и механизми за проверка, за да управлявате достъпа до вашите системи, както и действията, които вашите служители могат да извършват в инструменти за генеративен изкуствен интелект. Например, платформа за сигурност на браузъра може да попречи на служителите ви да поставят чувствителен код в инструменти като ChatGPT.
Редовни софтуерни актуализации и корекции
Бъдете в крак с най-новите версии и корекции за сигурност за вашите системи. Прилагайте актуализации своевременно, за да отстраните всички известни уязвимости и да се предпазите от нововъзникващи заплахи. По този начин ще подобрите сигурността си и ще се предпазите от всички заплахи, включително тези, породени от нападатели, които използват генеративен изкуствен интелект.
Мониторинг и откриване на аномалии
Внедряйте решения за мониторинг, за да откривате и реагирате на потенциални инциденти със сигурността или необичайни дейности, свързани с инструменти за генеративен изкуствен интелект. Внедрете механизми за откриване на аномалии в реално време, за да идентифицирате подозрително поведение, като например опити за неоторизиран достъп или необичайни модели на данни.
Образование и осведоменост на потребителите
Обучете служителите и потребителите за рисковете, свързани с генеративния изкуствен интелект, включително фишинг, социално инженерство, и други заплахи за сигурността. Предоставяйте насоки за това как да се идентифицират и реагират на потенциални атаки или подозрителни дейности. Редовно повишавайте осведомеността за сигурността чрез обучителни програми и кампании за повишаване на осведомеността.
В допълнение към тези обучения, платформа за сигурност на браузъра може да помогне, като изисква съгласие или обосновка от потребителя за използване на инструмент с генеративен изкуствен интелект.
Оценка на сигурността на доставчиците
Ако закупувате инструменти за генеративен изкуствен интелект от трети страни, направете задълбочена оценка на сигурността на техните предложения. Оценете техните практики за сигурност, процедури за обработка на данни и спазването на индустриалните стандарти. Уверете се, че доставчиците дават приоритет на сигурността и разполагат със стабилна рамка за сигурност.
Реагиране на инциденти и възстановяване
Разработете план за реагиране при инциденти, специално насочен към генеративни инциденти със сигурността, свързани с изкуствен интелект. Установете ясни процедури за откриване, ограничаване и възстановяване след нарушения на сигурността или атаки. Редовно тествайте и актуализирайте плана за реагиране при инциденти, за да се адаптирате към променящите се заплахи.
Сътрудничество с експерти по сигурността
Потърсете насоки от специалисти по сигурността или консултанти, специализирани в сигурността, свързана с изкуствен интелект и машинно обучение. Те могат да ви помогнат да идентифицирате потенциални рискове, да внедрите най-добри практики и да гарантирате, че вашите генеративни системи с изкуствен интелект са адекватно защитени.
Как LayerX може да предотврати изтичане на данни в ChatGPT и други генеративни AI платформи
Платформата за сигурност на браузъра на LayerX Намалява риска от излагане на организационни данни, като данни за клиенти и интелектуална собственост, породен от ChatGPT и други генеративни ИИ платформи. Това се поддържа чрез активиране на конфигуриране на правила за предотвратяване на поставянето на текстови низове, осигуряване на подробна видимост на всяка потребителска активност в браузъра, откриване и деактивиране на разширения за браузър, подобни на ChatGPT, изискване на съгласие или обосновка от потребителя за използване на генеративен ИИ инструмент и налагане на защитено използване на данни във всички ваши SaaS приложения. Насладете се на производителността, осигурена от генеративните ИИ инструменти, без риск.
