Rủi ro bảo mật và chiến lược giảm thiểu khi sử dụng AI tạo sinh trong an ninh mạng
• Microsoft đang sử dụng các mô hình nền tảng của OpenAI và trả lời câu hỏi của khách hàng về cách AI thay đổi bối cảnh bảo mật.
• Siva Sundaramoorthy, kiến trúc sư bảo mật giải pháp đám mây cao cấp tại Microsoft, đã trình bày tổng quan về AI tạo sinh tại hội nghị ISC2 ở Las Vegas ngày 14/10.
• AI tạo sinh hoạt động như một công cụ dự đoán, chọn câu trả lời có khả năng cao nhất - mặc dù các câu trả lời khác cũng có thể đúng tùy theo ngữ cảnh.
• Các chuyên gia an ninh mạng nên xem xét các trường hợp sử dụng AI từ 3 góc độ: sử dụng, ứng dụng và nền tảng.
• 7 rủi ro khi áp dụng AI bao gồm: thiên vị, thông tin sai lệch, lừa dối, thiếu trách nhiệm giải trình, phụ thuộc quá mức, quyền sở hữu trí tuệ và tác động tâm lý.
• Các mối đe dọa độc đáo từ AI bao gồm: tiết lộ thông tin nhạy cảm, CNTT "bóng tối", rủi ro nội gián, tiêm prompt, rò rỉ dữ liệu, đầu độc dữ liệu, tấn công từ chối dịch vụ, đảo ngược mô hình và ảo giác.
• Kẻ tấn công có thể sử dụng các chiến lược như chuyển đổi prompt, kỹ thuật jailbreak để vượt qua bộ lọc nội dung.
• Các điểm đau khác bao gồm: tích hợp công nghệ mới tạo ra lỗ hổng, cần đào tạo người dùng, rủi ro từ xử lý dữ liệu nhạy cảm, thiếu minh bạch và kiểm soát, chuỗi cung ứng AI có thể đưa vào mã độc hại.
• Các tổ chức như NIST, OWASP cung cấp khung quản lý rủi ro cho AI tạo sinh. MITRE xuất bản ATLAS Matrix - thư viện về chiến thuật và kỹ thuật tấn công AI đã biết.
• Microsoft và Google cung cấp các công cụ quản trị và đánh giá để đánh giá giải pháp AI.
• Các tổ chức nên đảm bảo dữ liệu người dùng không vào dữ liệu huấn luyện mô hình, áp dụng nguyên tắc đặc quyền tối thiểu khi tinh chỉnh mô hình, và kiểm soát truy cập nghiêm ngặt khi kết nối mô hình với nguồn dữ liệu bên ngoài.
• Sundaramoorthy cho rằng "Các thực hành tốt nhất trong an ninh mạng cũng là thực hành tốt nhất trong AI".
📌 AI tạo sinh mang lại cả rủi ro và lợi ích cho bảo mật. Các tổ chức cần cân nhắc kỹ lưỡng trước khi triển khai, áp dụng các biện pháp bảo mật tiêu chuẩn và khung quản lý rủi ro chuyên biệt cho AI. Việc không sử dụng AI cũng là một lựa chọn cần cân nhắc do những rủi ro tiềm ẩn.
https://www.techrepublic.com/article/microsoft-generative-ai-security-risk-reduction-isc2/
Thảo luận
Follow Us
Tin phổ biến
