Skynet Ahoy? Wat u kunt verwachten voor de AI-beveiligingsrisico's van de volgende generatie

Nu de innovatie op het gebied van kunstmatige intelligentie (AI) zich snel voortzet, zal 2024 een cruciaal moment zijn voor organisaties en bestuursorganen om beveiligingsnormen, protocollen en andere vangrails vast te stellen om te voorkomen dat AI hen voorloopt, waarschuwen beveiligingsexperts.

Grote taalmodellen (LLM's), aangedreven door geavanceerde algoritmen en enorme datasets, demonstreren opmerkelijk taalbegrip en menselijke conversatiemogelijkheden. Een van de meest geavanceerde van deze platforms tot nu toe is GPT-4 van OpenAI, dat beschikt over geavanceerde redeneer- en probleemoplossende mogelijkheden en de ChatGPT-bot van het bedrijf aanstuurt. En het bedrijf is, in samenwerking met Microsoft, begonnen met werken aan GPT-5, aldus CEO Sam Altman zal veel verder gaan – tot het punt dat je ‘superintelligentie’ bezit.

Deze modellen vertegenwoordigen een enorm potentieel voor aanzienlijke productiviteits- en efficiëntiewinsten voor organisaties, maar experts zijn het erover eens dat de tijd is gekomen voor de industrie als geheel om de inherente veiligheidsrisico's aan te pakken veroorzaakt door hun ontwikkeling en inzet. Inderdaad, recent onderzoek van Writerbuddy AI, dat een op AI gebaseerde tool voor het schrijven van inhoud biedt, ontdekte dat ChatGPT al 14 miljard bezoeken heeft gehad en dat blijft stijgen.

Terwijl organisaties vooruitgang boeken op het gebied van AI, “moet dit gepaard gaan met rigoureuze ethische overwegingen en risicobeoordelingen”, zegt Gal Ringel, CEO van het op AI gebaseerde privacy- en beveiligingsbedrijf MineOS.

Is AI een existentiële bedreiging?

De zorgen over de veiligheid van de volgende generatie AI begonnen in maart te sijpelen, met een open brief ondertekend door bijna 34,000 toptechnologen waarin werd opgeroepen tot stopzetting van de ontwikkeling van generatieve AI-systemen die krachtiger zijn dan OpenAI's GPT-4. In de brief worden de ‘diepgaande risico’s’ voor de samenleving aangehaald die de technologie met zich meebrengt, en de ‘uit de hand gelopen race van AI-laboratoria om steeds krachtigere digitale geesten te ontwikkelen en in te zetten die niemand – zelfs hun makers niet – kunnen begrijpen, voorspellen of voorspellen. betrouwbare controle.”

Ondanks deze dystopische angsten zijn de meeste veiligheidsexperts niet zo bezorgd over een doemscenario waarin machines slimmer worden dan mensen en de wereld overnemen.

“In de open brief werd melding gemaakt van terechte zorgen over de snelle vooruitgang en potentiële toepassingen van AI in de brede zin van ‘is dit goed voor de mensheid’”, zegt Matt Wilson, directeur verkooptechniek bij cyberbeveiligingsbedrijf Netrix. “Hoewel ze in bepaalde scenario’s indrukwekkend zijn, lijken de publieke versies van AI-tools niet zo bedreigend.”

Wat zorgwekkend is, is het feit dat de vooruitgang en adoptie van AI te snel gaan om de risico’s goed te kunnen beheersen, merken onderzoekers op. “We kunnen de deksel van de doos van Pandora niet meer terugplaatsen”, zegt Patrick Harr, CEO van AI-beveiligingsleverancier SlashNext.

Bovendien zal louter “een poging om het innovatietempo in de ruimte te stoppen niet helpen om de risico’s die het met zich meebrengt te beperken”, die afzonderlijk moeten worden aangepakt, merkt Marcus Fowler, CEO van AI-beveiligingsbedrijf DarkTrace Federal, op. Dat betekent niet dat de ontwikkeling van AI ongecontroleerd moet doorgaan, zegt hij. Integendeel, de snelheid waarmee de risico's worden beoordeeld en passende waarborgen worden geïmplementeerd, moet overeenkomen met de snelheid waarmee LLM's worden opgeleid en ontwikkeld.

“AI-technologie evolueert snel, dus overheden en organisaties die AI gebruiken, moeten ook de discussies over AI-veiligheid versnellen”, legt Fowler uit.

Generatieve AI-risico's

Er zijn verschillende algemeen erkende risico's voor generatieve AI die aandacht vereisen en die alleen maar groter zullen worden naarmate toekomstige generaties van de technologie slimmer worden. Gelukkig voor de mens vormt geen van deze tot nu toe een science-fiction doemscenario waarin AI samenzweert om zijn makers te vernietigen.

In plaats daarvan omvatten ze veel bekendere bedreigingen, zoals datalekken en mogelijk bedrijfsgevoelige informatie; misbruik voor kwaadwillige activiteiten; en onnauwkeurige resultaten die gebruikers kunnen misleiden of verwarren, wat uiteindelijk tot negatieve zakelijke gevolgen kan leiden.

Omdat LLM's toegang nodig hebben tot grote hoeveelheden gegevens om nauwkeurige en contextueel relevante resultaten te kunnen leveren, kan gevoelige informatie onbedoeld worden onthuld of misbruikt.

“Het grootste risico is dat werknemers het voeden met bedrijfsgevoelige informatie wanneer je hem vraagt ​​een plan te schrijven of e-mails of bedrijfspresentaties met bedrijfseigen informatie te herformuleren”, merkt Ringel op.

Vanuit het perspectief van cyberaanvallen hebben bedreigingsactoren al talloze manieren gevonden om ChatGPT en andere AI-systemen te bewapenen. Eén manier is om de modellen te gebruiken om geavanceerde zakelijke e-mailcompromis (BEC) en andere phishing-aanvallen te creëren, waarvoor sociaal ontwikkelde, gepersonaliseerde berichten nodig zijn die zijn ontworpen voor succes.

“Met malware stelt ChatGPT cybercriminelen in staat oneindige codevariaties te maken om de malwaredetectiemotoren een stap voor te blijven”, zegt Harr.

AI-hallucinaties vormen ook een aanzienlijke bedreiging voor de veiligheid en stellen kwaadwillende actoren in staat om op LLM gebaseerde technologie zoals ChatGPT op een unieke manier te bewapenen. Een AI-hallucinatie is een plausibele reactie van de AI die onvoldoende, bevooroordeeld of ronduit niet waar is. “Fictieve of andere ongewenste reacties kunnen organisaties ertoe aanzetten tot foutieve besluitvorming, processen en misleidende communicatie”, waarschuwt Avivah Litan, vice-president van Gartner.

Bedreigingsactoren kunnen deze hallucinaties ook gebruiken om LLM’s te vergiftigen en “specifieke verkeerde informatie te genereren als antwoord op een vraag”, merkt Michael Rinehart op, vice-president van AI bij databeveiligingsprovider Securiti. “Dit is uitbreidbaar tot het genereren van kwetsbare broncodes en mogelijk tot chatmodellen die gebruikers van een site tot onveilige acties kunnen leiden.”

Aanvallers kunnen zelfs zo ver gaan kwaadaardige versies van softwarepakketten publiceren die een LLM zou kunnen aanbevelen aan een softwareontwikkelaar, in de overtuiging dat dit een legitieme oplossing voor een probleem is. Op deze manier kunnen aanvallers AI verder bewapenen om supply chain-aanvallen uit te voeren.

De weg voorwaarts

Het beheersen van deze risico’s zal afgemeten en collectieve actie vereisen voordat AI-innovatie het vermogen van de industrie om deze te beheersen te boven gaat, merken experts op. Maar ze hebben ook ideeën over hoe ze het probleem van AI kunnen aanpakken.

Harr gelooft in een “vecht tegen AI met A'-strategie, waarin 'vooruitgang in beveiligingsoplossingen en strategieën om door AI gevoede risico's te dwarsbomen zich in een gelijk of hoger tempo moeten ontwikkelen.

“Cyberbeveiliging moet AI inzetten om cyberdreigingen met behulp van AI-technologie succesvol te bestrijden”, voegt hij eraan toe. “Ter vergelijking: oudere beveiligingstechnologie maakt geen schijn van kans tegen deze aanvallen.”

Organisaties moeten echter ook een weloverwogen aanpak hanteren bij het adopteren van AI Op AI gebaseerde beveiligingsoplossingen – opdat ze niet meer risico’s in hun omgeving introduceren, waarschuwt Wilson van Netrix.

“Begrijp wat AI is en wat niet is”, adviseert hij. “Daag leveranciers uit die beweren AI te gebruiken om te beschrijven wat het doet, hoe het hun oplossing verbetert en waarom dat belangrijk is voor uw organisatie.”

Rinehart van Securiti biedt een aanpak op twee niveaus om AI in een omgeving te faseren door gerichte oplossingen in te zetten en vervolgens vangrails te plaatsen onmiddellijk voordat de organisatie wordt blootgesteld aan onnodige risico's.

“Gebruik eerst toepassingsspecifieke modellen, mogelijk aangevuld met kennisbanken, die zijn toegesneden op het bieden van waarde in specifieke gebruiksscenario’s”, zegt hij. “Vervolgens … implementeer een monitoringsysteem om deze modellen te beschermen door berichten van en naar hen nauwkeurig te onderzoeken op privacy- en veiligheidskwesties.”

Deskundigen raden ook aan beveiligingsbeleid en -procedures rond AI op te zetten voordat deze wordt ingezet, in plaats van als een bijzaak om de risico’s te beperken. Ze kunnen zelfs een speciale AI-risicofunctionaris of taskforce oprichten om toezicht te houden op de naleving.

Buiten de onderneming moet de industrie als geheel ook stappen ondernemen om beveiligingsnormen en -praktijken rond AI op te zetten die iedereen die de technologie ontwikkelt en gebruikt, kan overnemen – iets dat collectieve actie van zowel de publieke als de private sector op wereldschaal vereist. , zegt Fowler van DarkTrace Federal.

hij citeert richtlijnen voor het bouwen van veilige AI-systemen gezamenlijk gepubliceerd door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber ​​Security Centre (NCSC) als voorbeeld van het soort inspanningen dat de voortdurende evolutie van AI zou moeten begeleiden.

“In wezen”, zegt Rinehart van Securiti, “zal het jaar 2024 getuige zijn van een snelle aanpassing van zowel traditionele beveiliging als geavanceerde AI-technieken om gebruikers en gegevens te beschermen in dit opkomende generatieve AI-tijdperk.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/skynet-ahoy-what-to-expect-next-gen-ai-security-risks