Mitigare i rischi dell'IA generativa

Comprendere i fattori di rischio e come gestirli

Quando un'azienda affida al proprio sistema software dati sensibili, ci si aspetta che tutte le informazioni siano completamente protette da accessi non autorizzati, modifiche o esfiltrazioni. Sebbene le vulnerabilità tradizionali rimangano una preoccupazione, la natura unica dell'IA generativa introduce ulteriori rischi da cui è necessario proteggersi.

Oltre a proteggere i dati sensibili, è anche importante che l'IA generativa rispetti i suoi accordi sul livello di servizio (SLA), tra cui disponibilità, scalabilità, prestazioni, affidabilità e disaster recovery. È inoltre necessario dimostrare che l'IA generativa non influisce negativamente sugli SLA dei sistemi a valle. Comprendere queste vulnerabilità e impedire loro di creare esposizioni alla sicurezza, apre la strada alla realizzazione dell'enorme promessa dell'IA generativa.

Alcune vulnerabilità chiave a cui prestare attenzione includono:

• Iniezione immediata. Input ben congegnati possono indurre le applicazioni di intelligenza artificiale generativa a rivelare dati riservati o a eseguire azioni dannose.
• Gestione dell'output non sicura. L'utilizzo cieco degli output dell'intelligenza artificiale senza controllo apre la porta a exploit di sistema come l'accesso non autorizzato ai dati.
• Avvelenamento dei dati di addestramento. I dati di addestramento manipolati possono corrompere i componenti dell'intelligenza artificiale, introducendo pericolosi pregiudizi o backdoor.
• Modello di negazione del servizio. Gli aggressori possono sopraffare le applicazioni di intelligenza artificiale generativa con richieste complesse, degradando o disabilitando il servizio.
• Eccessiva agenzia. Dare ai componenti dell'IA un'autonomia incontrollata può consentire loro di prendere decisioni dannose basate su un ragionamento errato.
• Design a innesto del plug-in. I componenti di intelligenza artificiale di terze parti possono introdurre gravi vulnerabilità attraverso una gestione non sicura dei dati.
• Compromissione della catena di approvvigionamento. Se gli strumenti o le fonti di dati di terze parti vengono violati, questi eventi creano un rischio all'interno dell'applicazione di intelligenza artificiale generativa.
• Perdita di dati sensibili. L'IA generativa può rivelare dati sensibili dei clienti o dell'azienda a cui è stata esposta durante il suo addestramento.

Fortunatamente, le misure preventive possono mitigare diversi tipi di vulnerabilità dell'IA. Ad esempio, la protezione contro l'iniezione tempestiva e l'avvelenamento dei dati di addestramento aiuta anche a ridurre la possibilità di divulgazione di informazioni sensibili. Un solido framework di identità e accesso, con un'implementazione ben ponderata del controllo degli accessi, è un prerequisito per la protezione da attacchi eccessivi da parte delle agenzie. E le tradizionali misure di sicurezza che abbiamo praticato sin dagli albori dell'informatica forniscono le basi su cui si basano le protezioni dell'IA generativa.

Con una posizione di sicurezza vigile e misure di difesa approfondite in atto, le aziende possono realizzare l'enorme potenziale dell'IA generativa, salvaguardando al contempo i sistemi e le informazioni sensibili. La protezione dell'IA generativa richiede un approccio a più livelli che comprenda i dati, l'addestramento e la messa a punto dei modelli, l'infrastruttura, le identità, il controllo degli accessi e, soprattutto, la diligenza nella valutazione dei fornitori. Le aziende devono inoltre implementare una governance completa, un rigoroso controllo degli accessi, controlli di input e output, monitoraggio, sandboxing e protocolli di sviluppo e operazioni ben definiti.

Valuta la tua posizione di sicurezza nell'IA generativa prima di immergerti

Indipendentemente dal fatto che le aziende incorporino l'intelligenza artificiale generativa direttamente nelle soluzioni interne o acquisiscano queste funzionalità dai fornitori, porre le domande giuste è fondamentale per garantire una sicurezza rigorosa. Le domande giuste possono aiutare a guidare le conversazioni per determinare se sono state implementate protezioni adeguate. Prendi in considerazione la possibilità di coprire le seguenti aree tematiche:

• Sicurezza della catena di approvvigionamento. Le aziende dovrebbero richiedere audit di terze parti, test di penetrazione e revisioni del codice per garantire la sicurezza della catena di approvvigionamento. Devono capire come vengono valutati i fornitori di terze parti, sia inizialmente che su base continuativa.
• Sicurezza dei dati. Le organizzazioni devono capire come i dati vengono classificati e protetti in base alla sensibilità, inclusi i dati aziendali personali e proprietari. Come vengono gestite le autorizzazioni degli utenti e quali misure di sicurezza sono in atto?
• Controllo di accesso. Con una posizione di sicurezza vigile, che include controlli degli accessi basati sui privilegi e misure di difesa approfondite, le aziende possono realizzare l'enorme potenziale dell'IA generativa, salvaguardando al contempo i sistemi e le informazioni sensibili.
• Formazione sulla sicurezza della pipeline. È essenziale un controllo rigoroso sulla governance dei dati di addestramento, sulle pipeline, sui modelli e sugli algoritmi. Quali protezioni sono in atto per proteggersi dall'avvelenamento dei dati?
• Sicurezza in ingresso e in uscita. Prima di implementare l'intelligenza artificiale generativa, le organizzazioni dovrebbero valutare i metodi di convalida degli input, nonché il modo in cui gli output vengono filtrati, sanificati e approvati.
• Sicurezza dell'infrastruttura. Con quale frequenza il fornitore esegue i test di resilienza? Quali sono i loro SLA in termini di disponibilità, scalabilità e prestazioni? Questo è fondamentale per valutare la sicurezza e la stabilità dell'infrastruttura.
• Monitoraggio e risposta. Le aziende devono comprendere appieno il modo in cui i flussi di lavoro, il monitoraggio e le risposte vengono automatizzati, registrati e verificati. Tutti i record di audit devono essere protetti, soprattutto se è probabile che contengano informazioni riservate o personali.  
• Conformità. Le aziende devono confermare che il fornitore è conforme a normative come GDPR e CCPA e che sono state ottenute certificazioni come SOC2 e ISO 27001. Devono capire dove verranno raccolti, archiviati e utilizzati i dati per garantire che siano soddisfatti i requisiti specifici del paese o dello stato.

Realizza la promessa dell'IA generativa, in modo sicuro

L'intelligenza artificiale generativa ha un potenziale immenso, con nuove applicazioni scoperte quasi ogni giorno. Sebbene le capacità attuali siano già profonde, ci attende un potenziale ancora maggiore.

Tuttavia, con questa promessa arrivano rischi che richiedono una governance prudente e continuativa. 

La sicurezza crea fiducia e favorisce il progresso, e le linee guida in questo post del blog forniscono un punto di partenza per le organizzazioni per valutare e affrontare questi rischi. Con diligenza, le aziende possono adottare l'IA generativa in anticipo e in modo sicuro, per ottenere un vantaggio nella realizzazione dei vantaggi dell'IA generativa ora e in futuro. La chiave è bilanciare l'innovazione con la governance attraverso la collaborazione continua tra i team di sicurezza e AI.

Blue Yonder sta applicando il gold standard del settore per la sicurezza generativa dell'intelligenza artificiale, OWASP Top 10 for Large Language Models, per salvaguardare le nostre soluzioni. Ciò significa che i nostri clienti possono sfruttare appieno le più recenti innovazioni tecnologiche che consentono alle loro aziende di funzionare in modo più rapido e intelligente. Contattateci per discutere del potenziale di un'intelligenza artificiale generativa sicura nella vostra supply chain.