Üretken Yapay Zeka: Veri güvenliği için pragmatik bir plan

Hızlı yükselişi büyük dil modelleri (LLM’ler) Ve üretken yapay zeka her yerdeki güvenlik ekipleri için yeni zorluklar ortaya çıkardı. Verilere erişilmesi için yeni yollar yaratan gen yapay zekası, verilerin bu verilere sahip olmaması gereken kişilere gitmesini engellemeye odaklanan geleneksel güvenlik paradigmalarına uymuyor.

Kuruluşların aşırı risk yaratmadan gen yapay zekaya hızlı bir şekilde geçiş yapabilmelerini sağlamak için güvenlik sağlayıcılarının, yeni risk türlerini ve mevcut programlarına nasıl baskı uyguladıklarını dikkate alarak programlarını güncellemeleri gerekir.

Güvenilmeyen aracılar: Yeni bir gölge BT kaynağı

Şu anda OpenAI, Hugging Face ve Anthropic gibi hizmetlerin barındırdığı LLM’lerin üzerinde bütün bir endüstri inşa ediliyor ve genişletiliyor. Ayrıca Meta’dan LLaMA ve OpenAI’den GPT-2 gibi çok sayıda açık model mevcuttur.

Bu modellere erişim, bir kuruluştaki çalışanların iş zorluklarını çözmelerine yardımcı olabilir. Ancak çeşitli nedenlerden dolayı herkes bu modellere doğrudan erişemiyor. Bunun yerine çalışanlar genellikle tarayıcı uzantıları, SaaS üretkenlik uygulamaları, Slack uygulamaları ve ücretli API’ler gibi modellerin kolay kullanımını vaat eden araçları arıyor.

Bu aracılar hızla yeni bir gölge BT kaynağı haline geliyor. Daha iyi bir satış e-postası yazmak için Chrome uzantısı kullanmak, bir satıcı kullanmaya benzemez; bir üretkenlik hack’i gibi geliyor. Kuruluşunuz temel modellerden ve sağlayıcılardan memnun olsa bile, tüm bunları üçüncü bir tarafla paylaşarak önemli hassas verilerin sızıntısına yol açtıkları pek çok çalışan için açık değildir.

Güvenlik sınırlarını aşan eğitim

Bu tür risk çoğu kuruluş için nispeten yenidir. Bu riskte üç potansiyel sınır rol oynuyor:

1. Temel bir modelin kullanıcıları arasındaki sınırlar
2. Temel bir modelin üzerinde ince ayar yapan bir şirketin müşterileri arasındaki sınırlar
3. Bir modele ince ayar yapmak için kullanılan verilere farklı erişim haklarına sahip bir kuruluş içindeki kullanıcılar arasındaki sınırlar

Bu durumların her birinde sorun, bir modele hangi verilerin girdiğini anlamaktır. Ortaya çıkan modele yalnızca eğitime veya ince ayar verilerine erişimi olan kişilerin erişimi olmalıdır.

Örnek olarak, bir kuruluşun üretkenlik paketinin içeriğini kullanarak LLM’ye ince ayar yapan bir ürün kullandığını varsayalım. Bu araç, orijinal olarak erişim iznimin olmadığı belgelerden alınan bilgileri almak için modeli kullanamayacağımı nasıl garanti edebilir? Ayrıca, başlangıçta sahip olduğum erişim iptal edildikten sonra bu mekanizmayı nasıl güncelleyecek?

Bunlar çözülebilir sorunlardır ancak özel dikkat gerektirirler.

Gizlilik ihlalleri: Yapay Zeka ve Kişisel Bilgilerin Kullanılması

Gizlilik hususları yeni olmasa da kişisel bilgilerle gen yapay zekanın kullanılması bu sorunları özellikle zorlaştırabilir.

Pek çok yargı bölgesinde, kişisel bilgilerin, söz konusu kişinin belirli yönlerini analiz etmek veya tahmin etmek amacıyla otomatik olarak işlenmesi, düzenlemelere tabi bir faaliyettir. Yapay zeka araçlarını kullanmak, bu süreçlere incelikler katabilir ve kapsam dışında kalma teklif etme gibi gereksinimlere uymayı zorlaştırabilir.

Göz önünde bulundurulması gereken bir diğer husus, kişisel bilgilerle ilgili eğitim veya ince ayar modellerinin, silme isteklerini, verilerin yeniden kullanılmasına ilişkin kısıtlamaları, veri yerleşimini ve diğer zorlayıcı gizlilik ve düzenleme gerekliliklerini yerine getirme yeteneğinizi nasıl etkileyebileceğidir.

Güvenlik programlarını yapay zeka risklerine uyarlama

Satıcı güvenliği, kurumsal güvenlik ve ürün güvenliği, yapay zeka neslinin getirdiği yeni risk türleri nedeniyle özellikle zorlanmaktadır. Bu programların her birinin, ileriye dönük olarak riski etkili bir şekilde yönetmek için uyum sağlaması gerekmektedir. İşte nasıl.

Satıcı güvenliği: Yapay zeka araçlarına diğer satıcıların araçları gibi davranın

Jenerik yapay zeka araçları söz konusu olduğunda satıcı güvenliğinin başlangıç ​​noktası, bu araçlara başka herhangi bir satıcıdan benimsediğiniz araçlar gibi davranmaktır. için olağan gereksinimlerinizi karşıladıklarından emin olun. güvenlik Ve mahremiyet. Amacınız, verilerinizin güvenilir bir koruyucusu olmalarını sağlamaktır.

Bu araçların yeniliği göz önüne alındığında, satıcılarınızın çoğu bunları pek sorumlu olmayan şekillerde kullanıyor olabilir. Bu nedenle, durum tespiti sürecinize dikkate alınması gereken hususları eklemelisiniz.

Standart anketinize sorular eklemeyi düşünebilirsiniz, örneğin:

• Şirketimiz tarafından sağlanan veriler makine öğrenimi (ML) modellerini eğitmek veya ince ayar yapmak için kullanılacak mı?
• Bu modeller nasıl barındırılacak ve dağıtılacak?
• Verilerimizle eğitilen veya ince ayarı yapılan modellerin yalnızca kuruluşumuz bünyesinde bulunan ve bu verilere erişimi olan kişilerin erişebildiğinden nasıl emin olacaksınız?
• sorununa nasıl yaklaşıyorsunuz? halüsinasyonlar gen AI modellerinde?

Durum tespiti başka bir şekil alabilir ve eminim ki SOC 2 ve ISO 27001 gibi birçok standart uyumluluk çerçevesi, çerçevelerinin gelecekteki sürümlerine ilgili kontroller oluşturacaktır. Şimdi bu soruları düşünmeye başlamanın ve satıcılarınızın da bunları dikkate almasını sağlamanın tam zamanı.

Kurumsal güvenlik: Doğru beklentileri belirleyin

Her kuruluşun sürtünme ve kullanılabilirlik arasındaki dengeye ilişkin kendi yaklaşımı vardır. Kuruluşunuz, SaaS ortamınızdaki tarayıcı uzantıları ve OAuth uygulamalarıyla ilgili olarak zaten sıkı denetimler uygulamış olabilir. Şimdi, hâlâ doğru dengeyi sağladığından emin olmak için yaklaşımınıza yeniden bakmanın tam zamanı.

Güvenilmeyen aracı uygulamalar genellikle kurulumu kolay tarayıcı uzantıları veya mevcut SaaS uygulamalarınıza bağlanan OAuth uygulamaları biçimini alır. Bunlar gözlemlenebilen ve kontrol edilebilen vektörlerdir. Çalışanların, müşteri verilerini onaylanmamış bir üçüncü tarafa gönderen araçları kullanma riski, bu araçların birçoğunun gen yapay zekayı kullanarak etkileyici çözümler sunduğu günümüzde özellikle daha güçlü.

Teknik kontrollerin yanı sıra çalışanlarınızla beklentilerinizi belirlemek ve iyi niyetli olduğunuzu varsaymak da önemlidir. İş arkadaşlarınızın bu araçları kullanma konusunda neyin uygun olup neyin olmadığını bildiğinden emin olun. Resmi bir politika geliştirmek için hukuk ve gizlilik ekiplerinizle işbirliği yapın yapay zeka çalışanlara yönelik politika.

Ürün güvenliği: Şeffaflık güven oluşturur

Ürün güvenliğindeki en büyük değişiklik, müşterileriniz için güvenilmez bir aracı haline gelmemenizi sağlamaktır. Ürününüzde, gen yapay zeka ile müşteri verilerini nasıl kullandığınızı açıkça belirtin. Şeffaflık güven inşa etmenin ilk ve en güçlü aracıdır.

Ürününüz aynı zamanda müşterilerinizin beklediği güvenlik sınırlarına da saygı duymalıdır. Bireylerin doğrudan erişemedikleri veriler üzerinde eğitilmiş modellere erişmesine izin vermeyin. Gelecekte erişimi modellemek için ayrıntılı yetkilendirme politikaları uygulayacak daha fazla ana akım teknolojinin ortaya çıkması mümkün, ancak bu büyük değişimin henüz çok başındayız. Hızlı mühendislik ve hızlı enjeksiyon, saldırı güvenliğinin büyüleyici yeni alanlarıdır ve bu modelleri kullanımınızın bir güvenlik ihlali kaynağı haline gelmesini istemezsiniz.

Müşterilerinize seçenekler sunun ve onların genel yapay zeka özelliklerinize dahil olmalarını veya bu özellikleri devre dışı bırakmalarını sağlayın. Bu, verilerinin nasıl kullanılmasını istediklerini seçebilecek araçları ellerine verir.

Günün sonunda ilerlemenin önünde durmamanız önemlidir. Eğer bu araçlar şirketinizi daha başarılı kılacaksa korku, belirsizlik ve şüphe nedeniyle bunlardan kaçınmak, konuşmaya dalmaktan daha riskli olabilir.

Rob Picard güvenlik şefidir Vanta’da.