1Password’un son yıllık raporu, Shadow AI’nın kurumsal ortamlarda ikinci en yaygın gölge BT biçimi olduğunu ortaya çıkardı.
ABD, İngiltere, Avrupa, Kanada ve Singapur’da 5.000’den fazla BT/güvenlik uzmanı ve bilgi çalışanının katıldığı bir ankete dayanan rapor, ankete katılan çalışanların dörtte birinden fazlasının (%27) işverenlerinin satın almadığı veya onaylamadığı yapay zeka tabanlı uygulamaları kullandığını ve üçte birinden fazlasının (%37) “çoğu zaman” şirketin yapay zeka politikalarını takip ettiğini gösteriyor.
1Password, “Veriler, şirketlerin üzerinde düşünülmüş ve ayrıntılı yapay zeka kullanım politikalarının yanı sıra bunları uygulama araçlarının da bulunmadığını gösteriyor” dedi. Ayrıca çalışanların göz ardı edilemeyecek bir yüzdesi, şirketlerinin bir yapay zeka politikasına sahip olduğunun farkında bile değil!
Çalışanların şirketlerinin yapay zeka politikası hakkındaki bilgisi (Kaynak: 1Password)
Şirket, işletmelerin yapay zeka risklerine tepki vermekten bunları tahmin etmeye geçmesi gerektiğini tavsiye etti. Bu şu anlama gelir:
- Onaylanmamış AI araçları ve aracıları için sürekli izleme uygulamak ve bunları zarar meydana gelmeden önce engelleme yeteneği oluşturmak
- Güvenlik ve BT ekipleri açık, pratik yapay zeka kullanım politikaları oluşturmalı ve herkesin bunları bilmesini ve anlamasını sağlamalıdır.
- Çalışanların yetkisiz araçlar kullandığı tespit edildiğinde kuruluşlar, çalışanların bunları neden kullandığını öğrenmeli ve aynı ihtiyaçları karşılayan güvenli alternatifler sunmalıdır.
- Kuruluşlar erişim ve güvenlik kontrollerini gelecekteki yapay zekayı (ajanlı yapay zeka dahil) göz önünde bulundurarak tasarlamalıdır.
Gölge Yapay Zeka ile başa çıkmak için saldırı tekniklerini savunma tekniklerine dönüştürmek
Hollandalı güvenlik şirketi Eye Security, çalışanların yapay zeka politikalarına ilişkin farkındalık sorununu çözmeye yardımcı olabilecek ve onları doğru seçimi yapmaya teşvik edebilecek ilginç bir konsept geliştirdi.
Prompt Injection for Good, çalışanların şirket verileriyle kişisel yapay zeka araçlarını kullandığında uyumluluk uyarılarını tetiklemek için kuruluşların şirket belgelerine ve e-posta imzalarına yerleştirilebilecek istemleri test etmek için kullanabileceği açık kaynaklı bir prototip aracıdır. (Kullanıcıların konsepti test etmeleri için etkileşimli bir araç da kullanıma sunmuşlar.)
Göz Güvenliği CTO’su Piet Kerkhofs, “Amaç, son kullanıcının şirketin CISO’su tarafından yazılmış net bir sorumluluk reddi beyanı almasıdır” dedi.
Bir şirket PDF’sine savunma amaçlı istem ekleme örneği (Kaynak: Göz Güvenliği)
Kullanıcı, eyleminin riskleri ve sonuçları hakkında bilgilendirilecek ve (umarız) kurumsal dokümanları onaylanmamış AI platformlarına ne zaman yüklemek üzere olduklarını tekrar düşünecektir.
Şirket, savunma istemlerinin en yeni LLM modellerine karşı düzenli olarak test edilmesine olanak tanıyan çerçeveyi yayınladı. Çerçeve, tüm popüler yapay zeka platformlarıyla senkronize olur ve kurumsal belgelerdeki gömülü istemleri toplu olarak test etmek ve puanlamaya genel bakış sağlamak için kolay entegrasyon sağlar. LLM’ler ve korkulukları güncellendikçe savunmacıların istemlerini sürekli olarak test etmesine ve ayarlamasına yardımcı olabilir.
Help Net Security’ye konuşan Kerkhofs, “Serbest bıraktığımız araç, belirli bir veriyi kurumsal belgelere basit bir şekilde yerleştirerek, DLP araçlarında geniş çapta uygulanabilir olan etik istem enjeksiyonu konseptini gösteriyor. Satıcıların test etmeye ve denemeye başlamasını ve bu konseptin üretimde uygulanmasını umuyoruz; bu nedenle araştırmamızı ve kaynak kodumuzu herkese açık olarak paylaştık.”
Şirket, bu çözümün ve araçlarının kusurlu olduğunun bilincindedir. Kerkhofs, “Bu araç, çalışanların hassas verileri onaylanmamış LLM’lere kopyalayıp yapıştırmasını ele almıyor. Bunu yönetmenin tek yolu, tarayıcı içinde AI kullanımını izleyen tarayıcı uzantılarını kullanmaktır, ancak bu aynı zamanda bariz gizlilik endişelerini de beraberinde getiriyor” dedi.
Bununla birlikte, bu prototipin kuruluşların verilerini proaktif olarak korumak için bu (genellikle) saldırgan hackleme tekniğini kullanmayı düşünmelerini sağlayacağını ve daha iyi çözümlerin yaratılmasını teşvik edeceğini umuyorlar.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!