Kai daugiau nei 100 aukščiausių kibernetinio saugumo lyderių liepos mėnesį susirinko į pasitraukimo centrą Kalifornijos sekvojyje netoli San Chosė, ramūs ošiančių spyglių garsai nesumažino diskusijų apie tai, kaip kovoti su naujausiomis dirbtinio intelekto grėsmėmis.
„Team8“, rizikos kapitalo įmonė, atsakinga už renginį, ištyrė grupę, įskaitant „Fortune 500 CISO“ ir nustatė, kad DI varomi sukčiavimo išpuoliai ir giliųjų klastotės tapo didžiausiu rūpesčiu, praėjus vos metams po to, kai daugelis kohortos narių tikėjosi generuojančios dirbtinio intelekto. būtų ne kas kita, kaip praeinanti mada. Trys ketvirtadaliai teigė, kad kova su AI sukčiavimo atakomis – arba sukčiavimo kampanijomis, dėl kurių el. pašto, teksto ar žinučių siuntimo aferos tampa sudėtingesnės, suasmenintos ir sunkiau aptinkamos – tapo sudėtinga kova. Daugiau nei pusė teigė, kad gilūs klastotės arba dirbtinio intelekto sukurtas vaizdo ar garso apsimetinėjimas tampa vis dažnesne grėsme.
Tačiau Fortūna kalbėjo tik su keliais pasitraukimo dalyviais, kurie teigė, kad nors AI sukčiavimas ir giliosios klastotės neabejotinai yra labai svarbios dabartinės kibernetinio saugumo problemos, yra ir kitų problemų, kurios neleidžia jiems miegoti, kai kalbama apie didėjančią su AI susijusių kibernetinių atakų prieš jų įmones riziką.
Įmonės duomenys buvo atskleisti ir dar baisesnės klastotės
Gary'is Hayslipas, investicijų kontroliuojančiosios bendrovės „SoftBank“ vyriausiasis saugumo pareigūnas, sakė, kad vienas didžiausių jam rūpimų klausimų yra tai, kaip apsaugoti privačių įmonių duomenis nuo tiekimo grandinės atakų dirbtinio intelekto amžiuje, t. AI funkcijų savo įrankiams, bet neįdiegė būtino valdymo, susijusių su „Softbank“ duomenų naudojimu.
„Yra gerų solidžių pardavėjų… sugalvoja savo generatyvų dirbtinio intelekto kūrinį, kuris dabar pasiekiamas naudojant šį įrankį, kurį naudojote pastaruosius trejus metus“, – sakė jis. „Puiku, bet ką jis daro su duomenimis? Su kuo sąveikauja duomenys? Organizacijos turi užduoti šiuos klausimus, nes apklausia paauglį, kuris nori atsisiųsti programėlių į savo išmanųjį telefoną, pridūrė jis.
„Turite būti šiek tiek paranojiškas“, – sakė jis ir pridūrė, kad įmonė negali „tiesiog atidaryti vartų ir leisti įeiti 1000 programėlių, o duomenys tiesiog skraido visur, kur yra visiškai nepilotuojamas“.
Adamas Zolleris, CISO iš Providence Health & Services, ne pelno sveikatos priežiūros sistemos, kurios būstinė yra Rentone, Vašingtone, sutiko, kad įmonės duomenų ir sistemų apsauga naudojant trečiųjų šalių AI įrankius šiuo metu yra didžiausias jo saugumo galvos skausmas, ypač labai reguliuojama pramonė, pavyzdžiui, sveikatos priežiūra. Jis paaiškino, kad tiekėjai gali integruoti LLM į esamas sveikatos priežiūros programinės įrangos platformas ar biomedicinos prietaisus ir gali nežiūrėti į saugumo klausimus taip rimtai, kaip turėtų.
„Kai kurios iš šių galimybių yra įdiegtos mums nežinant, pavyzdžiui, fone kaip programinės įrangos atnaujinimas“, – sakė jis ir pridūrė, kad jam dažnai tenka kalbėtis su verslo lyderiais, leisdamas jiems suprasti, kad naudojant tam tikrus įrankius kyla „nepriimtina rizika. .
Kiti saugumo lyderiai ypač nerimauja dėl to, kaip greitai vystosi dabartinės atakos. Pavyzdžiui, nors gilios klastotės jau įtikina, Alissa Abdullah, „Mastercard“ CSO pavaduotoja, teigė, kad yra labai susirūpinusi dėl naujų padirbtų sukčiavimo atvejų, kurie, tikėtina, atsiras ateinančiais metais. Jie naudotų dirbtinio intelekto vaizdo ir garso įrašus, kad apsimetų ne vartotoju atpažįstamu žmogumi, o nepažįstamu asmeniu iš patikimo prekės ženklo – pavyzdžiui, mėgstamos įmonės pagalbos tarnybos atstovu.
„Jie jums paskambins ir pasakys: „Turime patvirtinti jūsų tapatybę mūsų sistemoje“ ir paprašys 20 USD, kad būtų pašalintas „perspėjimas apie sukčiavimą“, kuris buvo mano sąskaitoje“, – sakė ji. „Daugiau norima ne 20 milijardų dolerių Bitcoin, o 20 dolerių iš 1000 žmonių – mažų sumų, kurias net tokie žmonės kaip mano mama mielai pasakytų: „Leisk man tiesiog tau atiduoti“.
Eksponentinė AI galimybių kreivė aukštyn
CISO įmonėse, kuriančiose pažangiausius AI modelius, labai svarbu planuoti būsimą riziką. Jasonas Clintonas, Anthropic vyriausiasis informacijos saugumo pareigūnas, kalbėjo Team8 renginyje, pabrėždamas grupei, kad labiausiai jam kelia nerimą „mastelio keitimo įstatymo hipotezės“ pasekmės. Ši hipotezė rodo, kad padidinus AI modelio dydį, jam tiekiamų duomenų kiekį ir modeliui apmokyti naudojamą skaičiavimo galią būtinai nuosekliai ir tam tikru mastu nuspėjamai didėja modelio galimybės.
„Nemanau, kad (CISO) tai visiškai įsisavino“, – sakė jis, suprasdamas eksponentinę AI galimybių kreivę. „Jei bandote planuoti įmonės strategiją kibernetinei veiklai, kuri būtų pagrįsta tik tuo, kas egzistuoja šiandien, tuomet atsiliksite“, – sakė jis. „Po metų skaičiavimo galia padidės 4 kartus per metus.
Be to, Clinton teigė, kad yra „atsargiai optimistiškai nusiteikęs“ dėl AI patobulinimų, kuriuos gynėjai naudoja reaguodami į dirbtinio intelekto atakas. „Manau, kad turime gynėjų pranašumą, todėl tikrai nereikia būti pesimistams“, – sakė jis. „Mes randame pažeidžiamumą greičiau nei bet kuris užpuolikas, apie kurį aš žinau. Be to, neseniai įvykęs DARPA AI Cyber Challenge parodė, kad kūrėjai gali sukurti naujas generatyvias AI sistemas, kad apsaugotų svarbiausią programinę įrangą, kuri apima viską nuo finansų sistemų ir ligoninių iki komunalinių paslaugų.
„Atrodo, kad ekonomika, investicijos ir technologijos teikia pirmenybę žmonėms, kurie stengiasi elgtis teisingai iš gynėjų pusės“, – sakė jis.
AI „šaltasis karas“
„Softbank“ bendrovė „Hayslip“ sutiko, kad gynėjai gali likti prieš AI varomas atakas prieš įmones, vadindami tai savotišku „šaltuoju karu“.
„Nusikalstamieji subjektai juda labai greitai, naudodamiesi dirbtiniu intelektu, kad sukurtumėte naujų rūšių grėsmių ir metodų, kaip užsidirbti pinigų“, – sakė jis. „Tai savo ruožtu stumia mus atgal su pažeidimais ir incidentais, kuriuos turime, o tai verčia mus kurti naujas technologijas.
Geros naujienos, anot jo, yra tai, kad nors prieš metus buvo tik keletas startuolių, orientuotų į generuojamųjų AI įrankių stebėjimą ar saugumo užtikrinimą nuo AI užpuolikų, šiais metais jų buvo dešimtys. „Net neįsivaizduoju, ką pamatysiu kitais metais“, – sakė jis.
Tačiau įmonės turi savo darbo, nes grėsmės neabejotinai didėja, sakė jis ir pridūrė, kad saugumo lyderiai negali pasislėpti nuo to, kas ateina.
„Žinau, kad yra CISO stovykla, kuri nori rėkti, ir jie bando tai sustabdyti arba sulėtinti“, – sakė jis. „Tam tikra prasme tai panašu į potvynio bangą, ir nesvarbu, ar jiems tai patinka, ar ne, tai bus sunku, nes (AI grėsmės) taip greitai bręsta ir auga.