Generativna orodja umetne inteligence, kot je ChatGPT, osvajajo svet. Kot pri vsaki novi tehnologiji morajo tudi direktorji informacijske varnosti (CISO) najti način, kako izkoristiti priložnosti, hkrati pa zaščititi organizacijo pred tveganji generativne umetne inteligence in ChatGPT. V tem članku si oglejmo priložnosti in najboljše varnostne prakse.
Kaj je Generative AI?
Generativna umetna inteligenca je vrsta umetne inteligence, ki se osredotoča na ustvarjanje in generiranje novih vsebin s tehnikami strojnega učenja. To lahko vključuje slike, besedilo, glasbo ali videoposnetke. Za razliko od večine pristopov umetne inteligence, ki prepoznavajo vzorce ali dajejo napovedi na podlagi obstoječih podatkov, si generativna umetna inteligenca prizadeva za ustvarjanje izvirnih in ustvarjalnih rezultatov.
Generativni modeli umetne inteligence temeljijo na modelih velikih jezikov (LLM), kar pomeni, da so usposobljeni na velikih naborih podatkov. Naučijo se osnovnih vzorcev in struktur, prisotnih v podatkih, in jih pretvorijo v verjetnostne modele. Nato, ko dobijo »poziv«, uporabijo naučeno znanje za ustvarjanje nove vsebine, ki je podobna učnim podatkom, vendar ni natančna kopija. Posledično lahko generativni modeli umetne inteligence oblikujejo realistične slike, pišejo koherentne zgodbe ali pesmi, skladajo glasbo in celo ustvarjajo realistične in človeku podobne pogovore.
Eden od pogostih ogrodij, ki se uporabljajo za generativno umetno inteligenco, se imenuje GAN – Generativno kontradiktorno omrežje. GAN-i so sestavljeni iz dveh nevronskih mrež: generatorskega omrežja in diskriminatornega omrežja. Generatorsko omrežje ustvarja novo vsebino, medtem ko diskriminatorno omrežje ocenjuje ustvarjeno vsebino in jo poskuša ločiti od resničnih podatkov. Obe mreži se skupaj učita v tekmovalnem procesu, v katerem si generator prizadeva ustvariti vedno bolj realistično vsebino, ki zavede diskriminatorja, diskriminator pa si prizadeva postati boljši pri prepoznavanju ustvarjene vsebine. To kontradiktorno učenje vodi do ustvarjanja visokokakovostne in raznolike vsebine.
Orodja generativne umetne inteligence imajo več primerov uporabe, vključno z umetnostjo, oblikovanjem, zabavo in celo medicino. Vendar pa generativna umetna inteligenca sproža tudi etične pomisleke, kot so možnost ustvarjanja lažnih vsebin, zloraba tehnologije, pristranskost in tveganja za kibernetsko varnost.
ChatGPT je izjemno priljubljen generativni klepetalni robot z umetno inteligenco, ki je bil izdan novembra 2022 in je pritegnil široko pozornost na koncept in zmogljivosti generativnih orodij umetne inteligence.
Kakšna so tveganja generativne umetne inteligence?
Generativna umetna inteligenca ima več povezanih tveganj, ki se jih morajo varnostne ekipe zavedati, kot so pomisleki glede zasebnosti in lažno predstavljanje. Glavna varnostna tveganja vključujejo:
Zaskrbljenost v zvezi z zasebnostjo
Generativni modeli umetne inteligence se učijo na velikih količinah podatkov, ki lahko vključujejo vsebino, ki jo ustvarijo uporabniki. Če niso ustrezno anonimizirani, bi lahko ti podatki bili razkriti med procesom učenja in med procesom razvoja vsebine, kar bi povzročilo kršitve podatkov. Takšne kršitve so lahko naključne, tj. informacije so posredovane, ne da bi uporabnik nameraval, da bi bile javno deljene, ali namerno, z napadi sklepanja, v zlonamernem poskusu razkritja občutljivih informacij.
Pred kratkim so zaposleni v Samsungu prilepil občutljive podatke v ChatGPT, vključno z zaupno izvorno kodo in zapiski o zasebnih sestankih. Ti podatki se zdaj uporabljajo za usposabljanje ChatGPT in se lahko uporabijo v odgovorih, ki jih ChatGPT zagotavlja.
Lažna e-poštna sporočila in zlonamerna programska oprema
Generativno umetno inteligenco lahko napadalci uporabijo za ustvarjanje prepričljive in zavajajoče vsebine, vključno z lažnimi e-poštnimi sporočili, lažnimi spletnimi mesti ali lažnimi sporočili, v več jezikih. Uporablja se lahko tudi za lažno predstavljanje zaupanja vrednih subjektov in oseb. To lahko poveča stopnjo uspešnosti. lažni napadi in vodijo do ogroženih osebnih podatkov ali poverilnic.
Poleg tega se lahko generativna umetna inteligenca uporablja za ustvarjanje zlonamerne kode ali različic zlonamerne programske opreme. Takšna zlonamerna programska oprema, ki jo poganja umetna inteligenca, se lahko prilagaja in razvija glede na interakcije s ciljnim sistemom, kar izboljša njihovo sposobnost zaobiti obrambo in napadati sisteme, hkrati pa oteži varnostnim sistemom, da jih ublažijo.
Upravljanje dostopa
Napadalci lahko s pomočjo generativne umetne inteligence simulirajo ali ustvarjajo realistične dostopne poverilnice, kot so uporabniška imena in gesla. Te se lahko uporabijo za ugibanje gesel, poverilnice in napade z grobo silo, ki omogočajo nepooblaščen dostop do sistemov, računov ali občutljivih podatkov. Poleg tega lahko generativna umetna inteligenca ustvari goljufive račune ali profile, ki jih je mogoče uporabiti za obhod postopkov in sistemov preverjanja ter za dostop do virov.
Insider grožnje
Generativna orodja umetne inteligence lahko posamezniki znotraj organizacije zlonamerno zlorabljajo za nepooblaščene dejavnosti. Zaposleni lahko na primer ustvari ponarejene dokumente ali manipulira s podatki, kar vodi do morebitne goljufije, ponarejanja podatkov ali kraje intelektualne lastnine. Zaposleni lahko tudi nenamerno posredujejo podatke tem orodjem, kar povzroči kršitve varnosti podatkov.
Povečana napadalna površina
Podjetja, ki v svoj sklad integrirajo generativna orodja umetne inteligence, lahko uvedejo nove ranljivosti. Ta orodja lahko interagirajo s sistemi in API-ji, kar ustvarja dodatne vstopne točke za napadalce.
Načini, kako lahko podjetja ublažijo varnostna tveganja generativne umetne inteligence in ChatGPT
Generativna umetna inteligenca prinaša priložnosti in varnostna tveganja. Podjetja lahko sprejmejo naslednje ukrepe, da zagotovijo, da lahko uživajo prednosti produktivnosti in varnosti ChatGPT, ne da bi bila izpostavljena tveganjem:
Ocena tveganja
Začnite z opredelitvijo potencialnih varnostnih tveganj, povezanih z uporabo generativnih orodij umetne inteligence v vašem podjetju. Določite področja, na katerih generativna umetna inteligenca uvaja varnostne ranljivosti ali morebitno zlorabo. Na primer, lahko inženirsko organizacijo označite kot skupino, ki ji grozi uhajanje občutljive kode. Ali pa lahko kot tveganje prepoznate razširitve brskalnika, podobne ChatGPT, in zahtevate njihovo onemogočanje.
Nadzor dostopa, overjanje in avtorizacija
Uvedite močne kontrole dostopa in mehanizme preverjanja, ki bodo upravljali dostop do vaših sistemov ter dejanja, ki jih lahko vaši zaposleni izvajajo v generativnih orodjih umetne inteligence. Na primer varnostna platforma brskalnika lahko prepreči vašim zaposlenim, da bi v orodja, kot je ChatGPT, vstavili občutljivo kodo.
Redne posodobitve in popravki programske opreme
Bodite na tekočem z najnovejšimi izdajami in varnostnimi popravki za svoje sisteme. Pravočasno namestite posodobitve, da odpravite vse znane ranljivosti in se zaščitite pred novimi grožnjami. S tem boste izboljšali svojo varnost in se zaščitili pred vsemi grožnjami, vključno s tistimi, ki jih predstavljajo napadalci, ki uporabljajo generativno umetno inteligenco.
Spremljanje in odkrivanje anomalij
Uvedite rešitve za spremljanje za odkrivanje in odzivanje na morebitne varnostne incidente ali nenavadne dejavnosti, povezane z generativnimi orodji umetne inteligence. Izvedite mehanizme za odkrivanje anomalij v realnem času za prepoznavanje sumljivega vedenja, kot so poskusi nepooblaščenega dostopa ali nenavadni vzorci podatkov.
Izobraževanje in ozaveščanje uporabnikov
Usposabljanje zaposlenih in uporabnikov o tveganjih, povezanih z generativno umetno inteligenco, vključno z lažnim predstavljanjem, socialni inženiringin druge varnostne grožnje. Zagotovite smernice o tem, kako prepoznati in se odzvati na morebitne napade ali sumljive dejavnosti. Redno krepite ozaveščenost o varnosti s programi usposabljanja in kampanjami ozaveščanja.
Za dopolnitev teh usposabljanj lahko pomaga platforma za varnost brskalnikov, ki zahteva uporabnikovo soglasje ali utemeljitev za uporabo generativnega orodja umetne inteligence.
Ocena varnosti prodajalcev
Če nabavljate generativna orodja za umetno inteligenco od tretjih ponudnikov, opravite temeljito varnostno oceno njihove ponudbe. Ocenite njihove varnostne prakse, postopke ravnanja s podatki in upoštevanje industrijskih standardov. Zagotovite, da ponudniki dajejo prednost varnosti in imajo vzpostavljen robusten varnostni okvir.
Odziv na incident in okrevanje
Razviti načrt za odzivanje na incidente, ki bo posebej obravnaval generativne varnostne incidente, povezane z umetno inteligenco. Vzpostaviti jasne postopke za odkrivanje, omejevanje in okrevanje po varnostnih kršitvah ali napadih. Redno testirati in posodabljati načrt za odzivanje na incidente, da se prilagodi spreminjajočim se grožnjam.
Sodelovanje s strokovnjaki za varnost
Poiščite nasvet varnostnih strokovnjakov ali svetovalcev, specializiranih za varnost umetne inteligence in strojnega učenja. Pomagajo vam lahko prepoznati morebitna tveganja, uvesti najboljše prakse in zagotoviti ustrezno varnost vaših generativnih sistemov umetne inteligence.
Kako lahko LayerX prepreči uhajanje podatkov na ChatGPT in drugih generativnih platformah umetne inteligence
LayerX-ova platforma za varnost brskalnika zmanjšuje tveganje izpostavljenosti organizacijskih podatkov, kot so podatki o strankah in intelektualna lastnina, ki ga predstavljajo ChatGPT in druge platforme generativne umetne inteligence. To je podprto z omogočanjem konfiguracije pravilnikov za preprečevanje lepljenja besedilnih nizov, zagotavljanjem podrobne preglednosti vsake dejavnosti uporabnika v brskalniku, zaznavanjem in onemogočanjem razširitev brskalnika, podobnih ChatGPT, zahtevanjem soglasja ali utemeljitve uporabnika za uporabo generativnega orodja umetne inteligence in uveljavljanjem varne uporabe podatkov v vseh vaših aplikacijah SaaS. Uživajte v produktivnosti, ki jo omogočajo generativna orodja umetne inteligence, brez tveganja.
