Üretken yapay zeka, kurumsal liderleri veri analitiğini genişletmek, işi hızlandırmak ve idari yükleri azaltmak gibi potansiyel avantajlarla cezbeder. Ancak siber güvenlik liderleri, yeni teknolojinin zaten istikrarsız bir ortamda yeni sorunlara yol açabileceği konusunda temkinli davranıyor.
Satıcılar ve CEO'lar CIO'ları hızlı bir uygulamaya başlamaya zorlarken, siber güvenlik profesyonelleri kendilerini tanıdık bir konumda buluyor; ya ayak uydururlar ya da itilirler.
“Konuştuğum CISO'lar daha çok ellerini kaldırıp 'Bekle, dur, bu çok hızlı ilerliyor' diyorlar ve tarihsel olarak siber güvenlik çalışanları her zaman yeni bir teknolojinin prime time'a hazır olup olmadığını sorgulayan kişiler olmuştur.” söz konusu Ed SkoudisSANS Teknoloji Enstitüsü başkanı.
Endişelere rağmen CISO'lar, teknoloji odaklı planlar ve stratejiler oluşturma konusunda CIO'lara katılma konusunda istekliler ve bu da kuruluş için potansiyel bir net olumlu gelişme.
Yapay zeka platformlarının kusurları olduğunu bilen CIO'lar, cahil olanlardan daha iyi durumda olacak. İşletmeler, modelleri taramak için otomatik araçlar kullanarak, siber profesyonelleri gelişmelerden haberdar ederek ve kötü amaçlı etkinlik işaretlerini arayarak güvenlik açıklarını proaktif bir şekilde ele alabilir.
Üretken yapay zeka satın alma seçenekleri menüsü genişledikçe siber uzmanlık özellikle kritik hale geliyor.
CIO'lar, yapay zeka modellerini geliştirmek ve bunları dahili verilerle eğitmek için Hugging Face, Vertex AI, Bedrock ve diğerleri gibi platformlardan yararlanabilir. Ekipler ayrıca doğrudan GitHub Copilot, ChatGPT Enterprise veya Gemini gibi kullanıma hazır araçlara da gidebilir. OpenAI'nin GPT mağazasındaki özelleştirilmiş modeller, eklentiler ve diğer satıcılar daha da fazla seçenek sunuyor.
Daha üretken yapay zeka platformları ve araçları özel, dahili verilere bağlandıkça, siber muadillerine güvenen CIO'lar, aksi takdirde tespit edilemeyecek politika ve planlardaki iyileştirme alanlarının yanı sıra araç ve modellerdeki güvenlik açıklarını ortaya çıkarabilir.
Üretken yapay zeka ekosistemi
Yapay zeka ve üretken yapay zeka kullanımının hücuma mı yoksa savunmaya mı daha fazla fayda sağlayacağı konusunda siber güvenlikte gelişen bir tartışma var.
“Önümüzdeki bir veya iki veya üç yılda savunmaya yardımcı olma potansiyeli olduğunu düşünüyorum, ancak şu anda hücuma çok çok daha fazla yardımcı oluyor.” Skoudiler CIO Dive'a söyledi.
Son haftalarda, çok sayıda rapor işletmelere yönelik uyarıcı hikayeler sundu. AI solucanları API güvenlik açıklarına yayılıp verileri çalabilir.
DevOps platform sağlayıcısı JFrog, şunları ortaya çıkardığını söyledi: 100 kötü amaçlı model Sarılma Yüzünde. Sağlayıcı çoğunlukla geliştiricilere ve veri bilimcilerine açık kaynaklı bir platform olarak hizmet veriyor, ancak üretken yapay zeka heyecanı bütçelere yayıldıkça şirket, kurumsal BT'ye onu bağlayan ortaklıklarla daha da yakınlaştı. Amazon, Google Bulut Ve IBM'in çözümler. Hugging Face, yorum talebine yanıt vermedi.
“Potansiyel tehditlerden biri kod yürütmedir; bu, kötü niyetli bir aktörün, modeli yükleyen veya çalıştıran makinede rastgele kod çalıştırabileceği anlamına gelir.” David Cohen, JFrog'un kıdemli güvenlik araştırmacısı, Şubat ayındaki bir blog yazısında söyledi. “Bu, veri ihlallerine, sistemin tehlikeye atılmasına veya diğer kötü niyetli eylemlere yol açabilir.”
Yakın zamanda Salt Security, ChatGPT eklentilerinde üçüncü tarafların hesaplara ve hassas verilere erişmesine izin veren güvenlik kusurları tespit etti. geçen hafta yayınlanan rapor. ChatGPT eklentileri, chatbot'un Google Drive'dan veri alma veya GitHub depolarına kod işleme gibi görevleri kullanıcılar adına gerçekleştirmesine olanak tanır.
Salt Security araştırmasına göre, bazı durumlarda faydalı olsa da, bu eklentiler aynı zamanda yeni bir saldırı vektörü de sunarak, kötü aktörlerin bir kuruluşun üçüncü taraf web sitesindeki hesabının kontrolünü ele geçirmesine veya üçüncü taraf uygulamalarda saklanan hassas bilgi ve verilere erişime izin vermesine olanak tanıyor. .
Aviad Carmel, Salt Security'de güvenlik araştırmacısı Eklenti araştırmasındaki liderlerden biri, ekibin analizinde bir kuruluşun kaynak kodunu içeren GitHub hesabına bir eklenti bağlayabildiği ve ardından bir saldırganın yönlendirme yoluyla erişim sağlayabildiği örneklerin bulunduğunu söyledi.
“Bu yıkıcı olurdu ve aslında etkisi de bu” Yaniv Balmas, Salt Security araştırma başkan yardımcısı, söz konusu. “Araştırmamızın sonuçları diğer tüm üretken yapay zeka ekosistemleriyle son derece alakalı.”
Yazılım geliştirmede güvenlik
Siber güvenlik görüşmesi, tedarikten kullanım senaryolarına kadar üretken yapay zeka yaşam döngüsünü kapsamalıdır. Üretken yapay zeka ile yazılım geliştirmeyi hızlandırmak isteyen şirketler, kodlama asistanlarına güç sağlayan eğitim setlerine göz atarak başlayabilir.
“Eğer bir geliştiriciyseniz ve yazılım yazıyorsanız, bu yüksek lisans programlarının bir istemi temel alarak ne tür bir yazılım oluşturmak istediğinizi tahmin etmek için kullandığı kaynaklar, çoğunlukla Stack Overflow ve bloglar gibi halka açık belgelerden alınır. çevrimiçi olarak programlama hakkında konuşuyoruz” Randall Degges, Snyk'te geliştirici ilişkileri ve topluluk başkanısöz konusu.
Degges, internetteki kodlama yardımının çoğunun ürüne hazır, güvenli kodun en iyi örneği olmadığını ve dahili verilerle desteklenen yapay zeka kodlama araçlarının yalnızca mevcut standardı güçlendireceğini söyledi.
Giderek daha fazla şirket teknoloji yığınına kodlama araçları ekledikçe, sonuçların beklentileri karşıladığından emin olmak için izleme araçları çok önemli.
“Birçok sorunu ve biçimsel sorunları olan bir kod tabanınız varsa, üretken asistanlardan ona ek kod eklemelerini istediğinizde, çoğu zaman eşit derecede kötü kod üretir çünkü kod olarak kullandığı tüm bağlamlara sahiptir. temelinde,” dedi Degges.
Öte yandan, iyi bir kod tabanına sahip üretken kodlama araçları sağlayan CIO'lar, aynı araçları kullanırken ekiplerinin ürettiği kodun daha iyi olduğunu göreceklerdir. Snyk'in araştırma.
Teknoloji şefleri, oluşturulan kodun otomatik ve insan tarafından incelenmesini sağlayarak işletmeleri koruyabilir. Yarıdan fazla bulunan kuruluşların Yapay zeka tarafından oluşturulan kodla ilgili güvenlik sorunları göre bazen veya sık sık Snyk Ocak ayında yayınlanan anket. Neredeyse 10'da 9 geliştiriciler yapay zeka kodlama araçlarını kullanmanın güvenlik sonuçları konusunda endişeli.
Degges, “Üretim açısından güvenli kod oluşturmak gerçekten zor; mühendisliğin bu kadar talep gören bir şey olmasının nedeni de bu” dedi. Yazılım mühendisleri, kalite güvence testleri ve veri tabanı geliştiricilerini içeren uygulama geliştiricileri ve programcılar, BT rolleri arasında yıllık maaşta yıldan yıla en yüksek artışı elde etti; bu oran yaklaşık bir artış gösterdi. %47buna göre Skillsoft'un BT Becerileri ve Maaşı Aralık ayında rapor.
“Geçen bir buçuk yılda, bu konularda güncel kalan her geliştiricinin iş akışları muhtemelen üç veya dört kez değişti çünkü araçlar gelişti, etkileşim yöntemleriniz değişti ve kullanışlılık düzeyi arttı. çarpıcı biçimde değişti” Degges söz konusu.