Uhajanje podatkov Genai se nanaša na kategorijo varnostnega tveganja, ki se pojavi, ko zaposleni v podjetju, agenti umetne inteligence ali avtomatizirani delovni tokovi komunicirajo z orodji umetne inteligence, aplikacijami SaaS in spletnimi storitvami prek brskalnika. Večina teh interakcij je nevidnih za tradicionalne varnostne kontrole, ki delujejo na omrežni in končni ravni. Seja brskalnika je tista, kjer se tveganje izvaja in kjer je treba izvesti uveljavljanje.
Vse ostalo je pred problemom.
Kaj je uhajanje podatkov Genai in zakaj je pomembno za varnost podjetja?
Uhajanje podatkov Genai se nahaja na presečišču uvajanja umetne inteligence in varnosti podjetij. Ko organizacije uvajajo ChatGPT, Microsoft Copilot, Claude in na stotine orodij SaaS, vgrajenih v umetno inteligenco, se na mestu, kjer zaposleni uporabljajo ta orodja, pojavi nov razred tveganja.
Tradicionalni varnostni okviri so bili zasnovani za drugačen svet. Omrežni nadzor vidi povezavo. Končni agenti vidijo proces. Nobeden od njiju ne vidi, kaj se dogaja znotraj seje brskalnika, ko razvijalec prilepi interni ključ API-ja v GitHub Copilot ali ko prodajni zastopnik naloži seznam potencialnih strank v ChatGPT za pripravo osnutka ozaveščanja. Ta slepa pega je osrednja težava. In to ni nišni robni primer – tam dejansko živi večina tveganj, povezanih z umetno inteligenco v podjetjih.
Glede na raziskavo LayerX 45 % zaposlenih v podjetjih aktivno uporablja orodja umetne inteligence. Varnostne ekipe, ki niso obravnavale te plasti, upravljajo tveganja umetne inteligence z orodji, ki ne vidijo interakcij, ki jih poskušajo upravljati.
Kako uhajanje podatkov Genai vpliva na organizacije, ki uporabljajo orodja umetne inteligence, kot sta ChatGPT in Microsoft Copilot?
ChatGPT, Microsoft Copilot in Gemini so zdaj standardna orodja za strokovnjake s področja prava, financ, inženiringa in poslovanja. Vsaka interakcija ustvarja potencialno izpostavljenost.
77 % zaposlenih prilepi podatke v pozive GenAI. Podatki, ki tečejo skozi te interakcije, vključujejo izvorno kodo, zapise strank, finančne projekcije in osebne podatke. Premikajo se kot običajen promet HTTPS do odobrenih domen. Omrežna zaščita pred izgubo podatkov (DLP) vidi odobreno povezavo. Zaščita pred izgubo podatkov (DLP) končnih točk vidi brskalnik kot en sam proces. Nobeden od njiju ne vidi podatkov v gibanju znotraj seje.
To je vrzel.
Posledice za skladnost so neposredne. Varnostna ekipa, ki ne more videti, kaj zaposleni posredujejo Copilotu, revizorju ne more dokazati nadzora nad tem podatkovnim kanalom. Politika brez tehničnega izvrševanja ni nadzor. Je obveznost, ki čaka, da bo dokumentirana v poročilu o kršitvi.
Katere so najpogostejše grožnje uhajanja podatkov v Genaiju, s katerimi se danes soočajo varnostne ekipe?
V poslovnih okoljih se vedno znova pojavljajo trije vzorci groženj.
Eksfiltracija podatkov prek pozivov AI. Zaposleni v orodja umetne inteligence vstavljajo občutljive podatke brez namena, da bi jih zlorabili. Učinek je enak: lastniški podatki zapustijo organizacijo prek kanala, ki ga varnostni sklad ne more nadzorovati. 89 % prijav z umetno inteligenco zaobide nadzor podjetja.
Takojšnja injekcija. Nasprotniki v dokumente, spletne strani ali e-poštna sporočila, ki jih berejo orodja umetne inteligence, vgrajujejo zlonamerna navodila. Model sledi vbrizganim navodilom in ne uporabnikovemu namenu. V poslovnih okoljih, ki uporabljajo raziskovalna ali e-poštna orodja s pomočjo umetne inteligence, to ne zahteva posebnega dostopa.
Senčna umetna inteligenca in nepooblaščeni računi. 50 % dejavnosti lepljenja v GenAI vključuje poslovne podatke. Pravilniki upravljanja, napisani za poslovne račune, ne pokrivajo nobenih primerov, ko zaposleni uporabljajo osebne račune ChatGPT, osebne račune Grammarly ali osebne račune Copilot v poslovnih napravah.
Kje se v poslovnem okolju pojavljajo tveganja uhajanja podatkov Genai?
Odgovor, ki se mu večina varnostnih ekip upira, je najpreprostejši: znotraj seje brskalnika.
Omrežna orodja so zunaj seje. Vidijo metapodatke prometa, ne vsebine. Orodja za končne točke obravnavajo brskalnik kot en sam proces. Vidijo aktivnost datotečnega sistema, ne pa tega, kar uporabnik vnese v besedilno polje. Orodja za identifikacijo potrdijo preverjanje pristnosti. Ne vidijo, kaj se dogaja v overjeni seji.
Vsak večji scenarij tveganja uhajanja podatkov Genai se odvija v tej vrzeli. Prodajni zastopnik, ki je kopiral izvoz CRM v ChatGPT, da bi napisal nadaljnje e-poštno sporočilo? To se je zgodilo v brskalniku. Inženir, ki je prilepil proizvodne poverilnice v Copilot, da bi odpravil napako v skriptu? Brskalnik. Finančni analitik, ki je naložil projekcije za tretje četrtletje, da bi jih povzel pred sejo upravnega odbora? Tudi brskalnik.
Seja brskalnika ni le ena od mnogih površin za napad. Za večino delavcev na področju znanja je primarno delovno okolje. Za poslovna tveganja, povezana z umetno inteligenco, je glavna. Varnost razširitev brskalnika to še poslabša: razširitve imajo lastna dovoljenja in tveganja za izpostavljenost podatkov, ki so v celoti znotraj plasti brskalnika.
Kako varnostne ekipe zgradijo program za preprečevanje uhajanja podatkov Genai, ki dejansko deluje?
Pravi program za preprečevanje uhajanja podatkov Genai se začne z vidnostjo. Varnostne ekipe ne morejo nadzorovati tistega, česar ne morejo videti. To pomeni spremljanje interakcij orodij umetne inteligence na ravni seje, ne le beleženje povezav z domenami umetne inteligence na ravni omrežja.
Od vidnosti naprej je naslednji korak klasifikacija. Vsi podatki, poslani orodjem umetne inteligence, ne nosijo enakega tveganja. Izvorna koda se razlikuje od javne objave na blogu. Osebni podatki strank se razlikujejo od splošne raziskovalne poizvedbe. Klasifikacija varnostnim ekipam omogoča uporabo postopnega izvrševanja namesto binarnih odločitev o dovoljenjih/blokiranjih, ki jih uporabniki obidejo.
Možnosti izvrševanja bi morale odražati, kako organizacija dejansko uporablja umetno inteligenco. Spremljanje samo za interakcije z nizkim tveganjem. Opozorila uporabnikov z utemeljitvijo poziva za oddaje s srednjim tveganjem. Samodejno odstranjevanje ali blokiranje vzorcev podatkov z visokim tveganjem. Cilj je nemoteno izvrševanje za 95 % interakcij, ki so nenevarne, in natančno posredovanje za 5 %, ki niso.
Nadzor uporabe umetne inteligence zagotavljajo plast pravilnikov, ki omogoča dosledno uveljavljanje pravilnikov v vseh orodjih, uporabnikih in napravah, vključno z neupravljanimi napravami, do katerih tradicionalni agenti ne morejo doseči.
Kako uveljavljanje na ravni brskalnika obravnava izzive uhajanja podatkov Genai?
Večina groženj uhajanja podatkov Genai se izvaja znotraj seje brskalnika. Za njihovo obravnavo je potrebno uveljavljanje na tej ravni, ne nad ali pod njo.
LayerX deluje kot razširitev brskalnika za podjetja, ki zagotavlja preglednost in nadzor nad interakcijami orodij umetne inteligence v realnem času na ravni seje. Spremlja, kaj zaposleni prilepijo v ChatGPT, Copilot in Gemini. Ko se vsebina ujema z občutljivimi klasifikatorji podatkov ali vedenjskimi vzorci, lahko LayerX opozori uporabnika, odstrani občutljivi element ali v celoti prepreči oddajo, ne da bi blokiral dostop do orodja umetne inteligence.
Za senčno umetno inteligenco LayerX zagotavlja neprekinjeno odkrivanje vseh aplikacij umetne inteligence, ki se uporabljajo v celotni organizaciji, vključno z orodji, ki jih IT ni nikoli odobril, in osebnimi računi, ki se uporabljajo za dostop do odobrenih orodij. Varnostne ekipe lahko natančno vidijo, katera orodja se izvajajo, kdo jih uporablja in kateri podatki se pretakajo skozi posamezno sejo.
Za agentsko umetno inteligenco je LayerX edina varnostna platforma z vidnostjo in izvrševanjem prek brskalnikov agentske umetne inteligence, vključno s ChatGPT Atlas, Perplexity Comet in Dia.
Kaj pomeni uhajanje podatkov Genai za upravljanje in skladnost z umetno inteligenco?
Regulacija se uvaja. Počasi, a se uvaja. Zakon EU o umetni inteligenci, standard NIST AI RMF in standard ISO 42001 obravnavajo upravljanje tveganj, povezanih z umetno inteligenco, na ravni politik. MITRE ATLAS zagotavlja tehnično taksonomijo, ki specifične tehnike napadov z umetno inteligenco preslika v konkretne kontrole.
Upravni odbori začenjajo postavljati specifična vprašanja. Ali lahko pokažete, kateri podatki tečejo skozi vaša orodja umetne inteligence, kateri mehanizmi urejajo ta pretok in kaj se zgodi, ko je pravilnik kršen? Ekipe brez vpogleda v interakcije z umetno inteligenco na ravni seje ne morejo odgovoriti na ta vprašanja z dokazi.
Smer je dosledna v vseh ogrodjih. Upravljanje umetne inteligence se premika od politike k tehničnemu izvrševanju. Varnostne ekipe, ki gradijo Varnost GenAI Programi, ki temeljijo na vidnosti na ravni sej, bodo zdaj postavljeni pred zahteve, ki so še v fazi dokončanja.
Za več informacij o tem, kako LayerX to rešuje, glejte Preprečevanje zlorabe umetne inteligenceZa več informacij o tem, kako LayerX to rešuje, glejte varnost razširitev brskalnika.
Pogosto zastavljena vprašanja
Ali se uhajanje podatkov Genai nanaša na orodja umetne inteligence, ki temeljijo na brskalniku?
Za varnostne ekipe v podjetjih se to vprašanje nanaša na vidnost na ravni seje. Tradicionalni omrežni in končni nadzor ne more videti interakcij znotraj orodij umetne inteligence, ki temeljijo na brskalniku. Uveljavljanje na ravni brskalnika, kot je razširitev Enterprise Browser Extension podjetja LayerX, odpravlja to vrzel s spremljanjem in uveljavljanjem pravilnikov natanko na točki, kjer se interakcija zgodi.
Katera orodja pomagajo pri uhajanju podatkov Genai v poslovnih okoljih?
Za varnostne ekipe v podjetjih se to vprašanje nanaša na vidnost na ravni seje. Tradicionalni omrežni in končni nadzor ne more videti interakcij znotraj orodij umetne inteligence, ki temeljijo na brskalniku. Uveljavljanje na ravni brskalnika, kot je razširitev Enterprise Browser Extension podjetja LayerX, odpravlja to vrzel s spremljanjem in uveljavljanjem pravilnikov natanko na točki, kjer se interakcija zgodi.
Kakšna je povezava med uhajanjem podatkov Genai in Umetna inteligenca za preprečevanje izgube vsebin (DLP)?
Za varnostne ekipe v podjetjih se to vprašanje nanaša na vidnost na ravni seje. Tradicionalni omrežni in končni nadzor ne more videti interakcij znotraj orodij umetne inteligence, ki temeljijo na brskalniku. Uveljavljanje na ravni brskalnika, kot je razširitev Enterprise Browser Extension podjetja LayerX, odpravlja to vrzel s spremljanjem in uveljavljanjem pravilnikov natanko na točki, kjer se interakcija zgodi.
