Generativni AI alati poput ChatGPT-a osvajaju svijet. Kao i svaka nova tehnologija, CISO-i moraju pronaći način da iskoriste prilike, a istovremeno zaštite organizaciju od rizika generativne AI i ChatGPT-a. Istražimo prilike i najbolje sigurnosne prakse u ovom članku.
Što je Generative AI?
Generativna umjetna inteligencija je vrsta umjetne inteligencije koja je usmjerena na stvaranje i generiranje novog sadržaja tehnikama strojnog učenja. To može uključivati slike, tekst, glazbu ili videozapise. Za razliku od većine pristupa umjetne inteligencije koji prepoznaju obrasce ili daju predviđanja na temelju postojećih podataka, generativna umjetna inteligencija ima za cilj stvaranje originalnog i kreativnog rezultata.
Generativni AI modeli temelje se na LLM-ovima (Large Language Models), što znači da se obučavaju na velikim skupovima podataka. Uče temeljne obrasce i strukture prisutne u podacima i pretvaraju ih u modele vjerojatnosti. Zatim, kada im se da "uputa", koriste naučeno znanje za generiranje novog sadržaja koji je sličan podacima za obuku, ali nije točna kopija. Kao rezultat toga, generativni AI modeli mogu dizajnirati realistične slike, pisati koherentne priče ili pjesme, skladati glazbu, pa čak i stvarati realistične i ljudski slične razgovore.
Jedan od uobičajenih okvira koji se koriste za generativnu umjetnu inteligenciju naziva se GAN – Generativna suparnička mreža. GAN-ovi se sastoje od dvije neuronske mreže: generatorske mreže i diskriminatorske mreže. Generatorska mreža generira novi sadržaj, dok diskriminatorska mreža procjenjuje generirani sadržaj i pokušava ga razlikovati od stvarnih podataka. Dvije mreže se zajedno obučavaju u kompetitivnom procesu u kojem generator nastoji proizvesti sve realističniji sadržaj koji zavarava diskriminator, a diskriminator teži postati bolji u identificiranju generiranog sadržaja. Ovo suparničko obučavanje dovodi do stvaranja visokokvalitetnog i raznolikog sadržaja.
Generativni AI alati imaju višestruku upotrebu, uključujući umjetnost, dizajn, zabavu, pa čak i medicinu. Međutim, generativna AI također pokreće etička pitanja, poput potencijala za generiranje lažnog sadržaja, zlouporabe tehnologije, pristranosti i rizika za kibernetičku sigurnost.
ChatGPT je iznimno popularan generativni AI chatbot koji je objavljen u studenom 2022., a koji je privukao široku pozornost na koncept i mogućnosti generativnih AI alata.
Koji su rizici generativne umjetne inteligencije?
Generativna umjetna inteligencija ima nekoliko povezanih rizika kojih sigurnosni timovi moraju biti svjesni, poput zabrinutosti za privatnost i phishinga. Glavni sigurnosni rizici uključuju:
Zabrinutost zbog privatnosti
Generativni AI modeli treniraju se na velikim količinama podataka, što može uključivati sadržaj koji generiraju korisnici. Ako nisu pravilno anonimizirani, ti se podaci mogu otkriti tijekom procesa obuke i u procesu razvoja sadržaja, što rezultira povredama podataka. Takve povrede mogu biti slučajne, tj. informacije se pružaju bez namjere korisnika da se javno dijele, ili namjerno, putem napada zaključivanjem, u zlonamjernom pokušaju otkrivanja osjetljivih informacija.
Nedavno su zaposlenici Samsunga zalijepio osjetljive podatke u ChatGPT, uključujući povjerljivi izvorni kod i bilješke s privatnih sastanaka. Ti se podaci sada koriste za ChatGPT obuku i mogu se koristiti u odgovorima koje ChatGPT pruža.
Phishing e-poruke i zlonamjerni softver
Generativna umjetna inteligencija može se koristiti od strane napadača za generiranje uvjerljivog i obmanjujućeg sadržaja, uključujući phishing e-poruke, phishing web stranice ili phishing poruke, na više jezika. Također se može koristiti za lažno predstavljanje pouzdanih subjekata i osoba. To može povećati stopu uspjeha phishing napadi i dovesti do kompromitiranja osobnih podataka ili vjerodajnica.
Osim toga, generativna umjetna inteligencija može se koristiti za generiranje zlonamjernog koda ili varijanti zlonamjernog softvera. Takav zlonamjerni softver pokretan umjetnom inteligencijom može se prilagođavati i razvijati na temelju interakcija s ciljnim sustavom, poboljšavajući svoju sposobnost zaobilaženja obrane i napada na sustave, a istovremeno otežava sigurnosnim obrambenim sustavima da ih ublaže.
Upravljanje pristupom
Napadači mogu koristiti generativnu umjetnu inteligenciju za simuliranje ili generiranje realističnih pristupnih podataka, kao što su korisnička imena i lozinke. Oni se mogu koristiti za pogađanje lozinki, vjerodostojno punjenje i napade grubom silom, omogućujući neovlašteni pristup sustavima, računima ili osjetljivim podacima. Osim toga, generativna umjetna inteligencija može stvoriti lažne račune ili profile koji se mogu koristiti za zaobilaženje procesa i sustava provjere te za pristup resursima.
Insajderske prijetnje
Generativne alate umjetne inteligencije pojedinci unutar organizacije mogu zlonamjerno zloupotrijebiti za neovlaštene aktivnosti. Na primjer, zaposlenik može generirati lažne dokumente ili manipulirati podacima, što dovodi do potencijalne prijevare, manipuliranja podacima ili krađe intelektualnog vlasništva. Zaposlenici također mogu nenamjerno procuriti podatke u ove alate, što rezultira povredama podataka.
Povećana površina napada
Tvrtke koje integriraju generativne AI alate u svoj program potencijalno uvode nove ranjivosti. Ti alati mogu komunicirati sa sustavima i API-jima, stvarajući dodatne ulazne točke koje napadači mogu iskoristiti.
Načini na koje tvrtke mogu ublažiti sigurnosne rizike generativne umjetne inteligencije i ChatGPT-a
Generativna umjetna inteligencija predstavlja prilike i sigurnosne rizike. Tvrtke mogu poduzeti sljedeće mjere kako bi osigurale da mogu uživati u prednostima produktivnosti i sigurnosti ChatGPT-a bez izlaganja rizicima:
Procjena rizika
Započnite mapiranjem potencijalnih sigurnosnih rizika povezanih s korištenjem generativnih alata umjetne inteligencije u vašem poslovanju. Odredite područja u kojima generativna umjetna inteligencija uvodi sigurnosne ranjivosti ili potencijalnu zlouporabu. Na primjer, možete istaknuti inženjersku organizaciju kao skupinu koja je u riziku od curenja osjetljivog koda. Ili možete identificirati proširenja preglednika slična ChatGPT-u kao rizik i zahtijevati njihovo onemogućavanje.
Kontrola pristupa, autentifikacija i autorizacija
Implementirajte snažne kontrole pristupa i mehanizme provjere kako biste upravljali pristupom svojim sustavima, kao i radnjama koje vaši zaposlenici mogu izvoditi u generativnim alatima umjetne inteligencije. Na primjer, sigurnosna platforma preglednika može spriječiti vaše zaposlenike da lijepe osjetljivi kod u alate poput ChatGPT-a.
Redovita ažuriranja i zakrpe softvera
Budite u tijeku s najnovijim izdanjima i sigurnosnim zakrpama za svoje sustave. Pravovremeno primijenite ažuriranja kako biste riješili sve poznate ranjivosti i zaštitili se od novih prijetnji. Time ćete poboljšati svoju sigurnosnu poziciju i zaštititi se od svih prijetnji, uključujući i one koje predstavljaju napadači koji koriste generativnu umjetnu inteligenciju.
Praćenje i otkrivanje anomalija
Implementirajte rješenja za nadzor kako biste otkrili i reagirali na potencijalne sigurnosne incidente ili neuobičajene aktivnosti povezane s generativnim alatima umjetne inteligencije. Implementirajte mehanizme za otkrivanje anomalija u stvarnom vremenu kako biste identificirali sumnjivo ponašanje, poput pokušaja neovlaštenog pristupa ili abnormalnih obrazaca podataka.
Obrazovanje i svijest korisnika
Obučite zaposlenike i korisnike o rizicima povezanim s generativnom umjetnom inteligencijom, uključujući phishing, društveni inženjering, i druge sigurnosne prijetnje. Pružite smjernice o tome kako prepoznati i odgovoriti na potencijalne napade ili sumnjive aktivnosti. Redovito jačajte svijest o sigurnosti putem programa obuke i kampanja za podizanje svijesti.
Kao nadopuna ovim obukama, platforma za sigurnost preglednika može pomoći tako što će zahtijevati pristanak korisnika ili opravdanje za korištenje generativnog alata umjetne inteligencije.
Sigurnosna procjena dobavljača
Ako nabavljate generativne AI alate od trećih strana, provedite temeljitu sigurnosnu procjenu njihove ponude. Procijenite njihove sigurnosne prakse, postupke rukovanja podacima i pridržavanje industrijskih standarda. Osigurajte da dobavljači daju prioritet sigurnosti i imaju uspostavljen robustan sigurnosni okvir.
Odgovor na incident i oporavak
Razviti plan odgovora na incidente koji se posebno odnosi na generativne sigurnosne incidente povezane s umjetnom inteligencijom. Utvrditi jasne postupke za otkrivanje, suzbijanje i oporavak od sigurnosnih propusta ili napada. Redovito testirati i ažurirati plan odgovora na incidente kako bi se prilagodio promjenjivim prijetnjama.
Suradnja sa stručnjacima za sigurnost
Potražite savjet od sigurnosnih stručnjaka ili konzultanata specijaliziranih za sigurnost umjetne inteligencije i strojnog učenja. Oni vam mogu pomoći u prepoznavanju potencijalnih rizika, implementaciji najboljih praksi i osiguravanju odgovarajuće sigurnosti vaših generativnih sustava umjetne inteligencije.
Kako LayerX može spriječiti curenje podataka na ChatGPT-u i drugim generativnim AI platformama
LayerX-ova platforma za sigurnost preglednika ublažava rizik od izloženosti organizacijskih podataka, poput podataka o kupcima i intelektualnog vlasništva, koji predstavljaju ChatGPT i druge generativne AI platforme. To je podržano omogućavanjem konfiguracije pravila za sprječavanje lijepljenja tekstualnih nizova, pružanjem detaljne vidljivosti svake aktivnosti korisnika u njihovom pregledniku, otkrivanjem i onemogućavanjem proširenja preglednika sličnih ChatGPT-u, zahtijevanjem pristanka ili opravdanja korisnika za korištenje generativnog AI alata i provođenjem sigurnog korištenja podataka u svim vašim SaaS aplikacijama. Uživajte u produktivnosti koju omogućuju generativni AI alati bez rizika.
