Kurumsal yardımcı pilotlar ve düşük kodlu/kodsuz yetenekler, iş kullanıcılarının kuruluş genelinde hızlı ve kolay bir şekilde yeni uygulamalar ve otomasyonlar oluşturmasına, ayrıca verileri yapay zeka hızında işleyip kullanmasına olanak tanıyor. Microsoft Copilot Studio gibi araçlar bunu bir adım daha ileri götürüyor; iş kullanıcıları, işi ileriye taşımak için kendi yardımcı pilotlarını oluşturabilirler. Dahası, iş kullanıcıları artık kendi adına özerk hareket edebilecek kendi aracılarını ve yapay zeka uygulamalarını oluşturabiliyor. Bu, üretkenlik ve verimlilik açısından harika olsa da, tamamen özerk yapay zekaya doğru ilerleme ilerledikçe kuruluşların bir plan yapması gereken yeni riskleri de beraberinde getiriyor.
Bu tür teknolojinin getirdiği pek çok heyecan verici yeni fırsat var. Ancak aşağıda göreceğiniz gibi, düşük kodlu/kodsuz geliştirme önemli riskler yaratabilir. Güvenlik ekiplerinin, kötü aktörlerin yerel kontrollerin etrafından dolaşırken kurumun değerli varlıklarının güvende kalmasını sağlamak için uygun korkulukları takip edebilmesi ve kurabilmesi gerekir. Bununla birlikte, yeniliği engellememek, ancak veri sızıntılarını ve güvenlik arka kapılarını önleyerek ve yapay zekanın sınırların dışında hareket etmesini önleyerek kuruluşun verilerini güvende tutmak için iğneyi batırmaları gerekiyor.
Yeni araçlar, yeni yetenekler
Az kodlu ve kodsuz platformların çoğalması, yazılım geliştirmede devrim yaratarak, minimum teknik altyapıya sahip olanların bile hızla karmaşık uygulamalar oluşturmasına olanak sağladı. Bu demokratikleşme, uygulama dağıtımını hızlandırır ve geliştirme maliyetlerini önemli ölçüde azaltır.
Yardımcı pilot oluşturma yeteneği, tüm bu faaliyeti ve olanaklarını bir adım daha ileriye taşıyor. İş kullanıcıları, kayıtlı bir röportajın metnini okumak, özetlemek ve ekibe e-posta göndermek gibi şeyleri yapmak için halihazırda kolayca yardımcı pilotlar oluşturabilir. Bir sonraki aşama, yalnızca istendiğinde harekete geçen yardımcı pilotlar ve uygulamalar oluşturmak değil, aynı zamanda kullanıcı adına özerk bir şekilde hareket edebilen yapay zeka aracıları oluşturmaktır ki bu zaten başlıyor. Örneğin Zapier, Zapier Central’ı beta biçiminde yayınladı ve Salesforce’un Einstein Hizmet Temsilcisi bu teknolojiyi müşteri hizmetleri alanına uyguluyor. Bireyler artık örneğin kişisel asistan görevi gören bir bot oluşturabilirler.
Kolaylık ve hız güvenlik riskleri yaratır
Otonom yapay zekanın kullanıma sunulması, kuruluşların etrafına korkuluklar inşa etmesi gerektiğine dair yeni bir dizi endişeyi beraberinde getiriyor. Bu, uygulamalar ve otomasyonlar oluşturmak için az kodlu/kodsuz kullanıldığında ortaya çıkan bazı yaygın zorlukların başında gelir:
Erişimin aşırı sağlanması: Birisi, oluşturduğu bir uygulamayı kuruluştaki herkesle paylaşırsa, yalnızca seçilmiş bir grup buna ihtiyaç duyarsa bu bir risk oluşturur. Bu, yaratıcının kiracısındaki konuk kullanıcıların veya kişisel hesapların bile artık bu uygulamaya ve erişimi olan verilere erişebileceği anlamına gelebilir. En kötü durumda, bunları halka açık internette paylaşılacak şekilde de yanlış yapılandırabilirler.
Gömülü kimlik bilgileri: Diğer bir yaygın hata, uygulamanın, kimlik bilgilerinin güvenli olduğundan emin olmak için bir parola kasasına çağrı yapması gereken güvenli bir kimlik doğrulama yöntemi kullanmak yerine, bir kimlik bilgisini bir uygulamaya yerleştirmektir. Bu nedenle, bir kimlik bilgisini uygulamaya sabit kodlarsanız veya kötü aktörlerin kuruluş genelindeki tüm farklı hesaplarınıza kimlik bilgileri doldurmasına ve erişmesi gereken birçok şeye erişmesine olanak tanıyan kullanıcı adı ve şifre kombinasyonuna erişim veriyorsanız erişimim yok.
Görünürlük eksikliği: Kimin neyi inşa ettiği ve bundan kaynaklanan risklerin neler olduğu konusunda güvenlik görünürlüğünüz yok.
Tüm bu faktörlerle birlikte kuruluşların aşağıdaki gibi şeyleri anlamak için dikkatlice düşünmesi ve bir oyun planı oluşturması gerekir:
- Yapay zeka ve yapay zeka uygulamalarının doğası gereği kurumsal verilere erişimi varsa (ki bu onların aşağı yukarı tüm amacıdır), onu serbest bıraktığımızda ne olur?
- Eğer “kötü aktivite” meydana gelseydi nasıl tespit edebilirdik?
- Yapay zekanın dahili olarak erişmemesi gereken şeylere erişmediğinden nasıl emin olabiliriz?
- Diğer uygulamalara, kullanıcılara ve/veya veri kümelerine döndürdüklerinin uyumlu ve güvenli olduğundan nasıl emin olabiliriz?
- İş kullanıcılarının bu botları veya aracıları oluştururken sürekli olarak doğru ve güvenli seçimler yapmalarını nasıl sağlayabiliriz?
Daha güvenli bir yaklaşıma ihtiyaç var
Yapay zekayı kullanmanın ve herkesin yapay zekayı hem kullanmasına hem de oluşturmasına olanak tanımanın temel nedeni, veri kümelerini hızlı ve otomatik olarak ayrıştırabilmesidir. Büyük veri kümelerini ve bilgileri insanlardan çok daha hızlı işleyebilir; İnsanlar bu gücü yenilikçiliği ve verimliliği artırmak için kullanabilirler.
Dolayısıyla, yapay zeka uygulamaları, yardımcı pilotlar ve aracılar geliştirirken güvenliği göz önünde bulundurmak kritik öneme sahiptir; çünkü belirli bir görevi yerine getirmek için bir yardımcı pilot veya uzantı tasarlıyor olsanız ve bu yalnızca belirli bir veri kümesiyle bağlantılı olsa bile, yapay zeka doğası gereği daha fazla veri setine erişmeyi kendi kendine öğrenecek. Dahası, kötü aktörler bu uygulamaları hedef alarak bunların kontrolünü ele geçirebilir (uzaktan yardımcı pilot uygulamasını düşünün) ve yalnızca kullanıcılara hangi verilerin gönderileceğini kontrol etmekle kalmaz, aynı zamanda bunları kötü bağlantılara tıklamak, kötü bilgiler kullanmak ve daha pek çok şey için sosyal olarak tasarlayabilir. Daha.
İş kullanıcılarının kendi aracılarını ve botlarını oluşturmalarına izin vermenin bir diğer endişesi de, onların erişim ve kimlik doğrulama gibi güvenlik kontrollerini uygulamaktan sorumlu olmalarıdır. Sonuç olarak, botlar ve aracılar çoğu zaman çok fazla kişinin erişimine açık veya erişilebilir durumda kalıyor ve bu da onları ani enjeksiyon saldırılarına karşı savunmasız bırakıyor; burada herhangi biri (kötü aktörler veya içeriden haberi olmayan kişiler) yardımcı pilotu, botu veya uzantıyı jailbreak yaparak yapmaması gereken bir şeyi yapabilir. , hızlı enjeksiyon yoluyla veri sızıntısına neden olur.
Sorunu çözmek için dikkate alınan yaklaşımlardan biri veri kaybını önlemedir (DLP), ancak bu yöntem uzun süredir kullanılıyor ve son kullanıcıların hassas verileri genel internete kopyalayıp/yapıştırması nedeniyle mevcut veri kaybı sorunlarını çözmedi. bırakın yenileri ya da gelecek olanları. AppSec yaklaşımını hayata geçirmek için pratik bir yaklaşım benimsemenin, en önemli konularda daha fazla kontrol sağlamanın zamanı geldi.
BT ve güvenlik ekiplerinin, özellikle yapay zeka uygulamaları olmak üzere insanların oluşturdukları şeyler konusunda daha fazla görünürlük kazanması gerekiyor; çünkü bu artık geleneksel BT parametrelerinin kapsamı dışında gerçekleşiyor ve kurumsal ve kamuya ait derin veri alanlarına erişiliyor. Ayrıca yapay zekanın kendi iradesiyle ne yaptığına dair görünürlüğe ihtiyaçları var. Sağlam izleme ve tarama araçları da önemlidir. Hassas verilerin gereğinden fazla paylaşılmaması için ekiplerin arka uçta sıkı korkuluklar kurması gerekiyor. Bu korkulukları güvenliği sağlayacak ancak ilerlemeyi ve yeniliği engellemeyecek şekilde tasarlamaları gerekiyor.
Kurumsal yapay zekanın güvenliğini sağlama
İnsanlar kendi ajanlarını ve yardımcı pilotlarını oluşturmaya başlıyor ve yakında, sanal asistan gibi iş yerinde onlar adına hareket eden ajanları ve yardımcı pilotları yaratabilecekler. Bu aracılar ve yardımcı pilotlar özerk bir şekilde hareket ettiğinden, kuruluşu erişim ve kimlik doğrulama hatalarından, veri sızıntılarından ve siber saldırılardan korumak amacıyla verileri, iş bağlamını ve mantığı anlamak güvenlik açısından büyük bir avantajdır. Ancak o zaman yeniliği teşvik eden sağlam kararlar alabilirler. BT ve güvenlik ekipleri, işletmelerin verilerini güvende tutarken gelişebilmesi için görünürlük, izleme ve kontrollere ihtiyaç duyar.
Reklam