اعترفت OpenAI مؤخرًا بوجود خرق أمني لدى أحد موردي تحليلات البيانات التابعين لجهة خارجية والذي أدى إلى كشف بعض المعلومات الشخصية لمستخدمي واجهة برمجة التطبيقات (API)، بما في ذلك عناوين البريد الإلكتروني والأسماء وتفاصيل المتصفح.
يؤكد الحادث في حد ذاته على المشكلات المستمرة المحيطة بسلسلة التوريد التي تستهدف مخاطر التعرض لبيانات الطرف الثالث، ولكن أبعد من ذلك، يعد الحادث بمثابة طلقة محتملة لمجتمع الأمن السيبراني والجمهور الأوسع بشكل عام.
مدير استخبارات التهديدات في LastPass.
كنز من البيانات
تعد شركات الذكاء الاصطناعي بمثابة كنز من البيانات. لا يقتصر الأمر على البيانات التي يتم تدريب النماذج عليها أو حتى الملكية الفكرية المشاركة في التكنولوجيا الفعلية، حيث يمكن النظر إلى الذكاء الاصطناعي على غرار مقدمي الخدمات السحابية (CSPs) كمستودعات لكمية هائلة ومتنوعة من البيانات المقدمة من العملاء.
يستمر المقال أدناه
وكما رأينا في أواخر عام 2010، زادت الدول القومية والجهات الفاعلة الأخرى في مجال التهديد من استهداف مقدمي الخدمات السحابية لتعظيم عائدها على الاستثمار، وهي مسألة وقت حتى نرى اختراقًا كبيرًا لإحدى شركات الذكاء الاصطناعي وما صاحبه من كشف للبيانات الشخصية والممتلكات.
فالبيانات جذابة للغاية، والجهات الفاعلة في مجال التهديد قادرة للغاية.
وهذا لا يعني التقليل من أهمية البرامج الأمنية في هذه الشركات؛ على العكس من ذلك، ليس هناك شك في أن البرامج الأمنية ذات مستوى عالمي، وتتمتع بموارد جيدة وتشغيلها بشكل لا يصدق، خاصة بين الشركات الأكثر تقدمًا والتي قد تجتذب الاهتمام الأكبر بين الجهات الفاعلة في مجال التهديد، ولكن هذه هي القضية الكلاسيكية المتمثلة في أن المدافعين يجب أن يكونوا على حق طوال الوقت، ويحتاج المهاجمون إلى أن يكونوا على حق مرة واحدة فقط.
آمن حسب التصميم
لكي نكون واضحين، فإن هذا لا يأخذ في الاعتبار حتى المشكلات الأمنية الأخيرة التي تم تحديدها داخل Moltbook بعد اعتمادها بسرعة في الأسابيع القليلة الماضية، بما في ذلك نقاط الضعف الرئيسية التي اكتشفها كل من Wiz بشكل مستقل، كما تم توضيحها في منشور مدونتهم الممتاز، وجيمسون أورايلي والتي تم تسليط الضوء عليها بواسطة 404 Media.
في حين أن Moltbook هو محور هذه التقارير الأخيرة، فإن القضايا الناشئة عن التطوير غير الآمن لأدوات الذكاء الاصطناعي – خاصة مع انتشار القدرات والتكنولوجيا – أكبر بكثير وأكثر إثارة للقلق، وهي تستحق تحليلها الخاص.
تعود هذه المشكلات إلى التركيز الشامل على سرعة التنفيذ، والاعتماد المفرط على التشفير الديناميكي، والافتقار الأساسي إلى تنفيذ شعار “التصميم الآمن” الذي يخلق مشكلات أمنية من المؤكد أن الجهات الفاعلة في مجال التهديد ستستفيد منها. ولكن مرة أخرى، هذا موضوع آخر… نعود إلى القضية المطروحة.
ما يجعل الاختراق المحتمل واسع النطاق لشركة كبرى في مجال الذكاء الاصطناعي فريدًا للغاية هو تنوع البيانات وحساسيتها. لا تدرك العديد من الشركات أن بعض بياناتها الأكثر حساسية ربما تمت مشاركتها بالفعل عبر موظفيها.
وفقًا لدراسة أجريت في وقت سابق من هذا العام من شركة Harmonic، فإن 45.4% من البيانات الحساسة التي تقدمها الشركة إلى تطبيقات الذكاء الاصطناعي جاءت من حسابات شخصية ووجدت شركة Varonis أن 99% من المؤسسات لديها بيانات حساسة معرضة لأدوات الذكاء الاصطناعي، بما في ذلك التطبيقات غير المصرح بها.
قم بدمج هذه البيانات مع المعلومات الشخصية العميقة التي يشاركها الأفراد مع روبوتات الدردشة المدعومة بالذكاء الاصطناعي، بما في ذلك طرح الأسئلة التي تم استخدامها لاحقًا في القضايا الجنائية والاستفادة من الذكاء الاصطناعي في المناقشات الشبيهة بالصحة العقلية والعلاج.
ويصبح احتمال الابتزاز مصدر قلق أيضًا، خاصة بين أولئك الذين قد يشعرون بالضغط لتجنب الذهاب إلى المعالجين أو الإبلاغ عن مخاوف تتعلق بالصحة العقلية، مثل العاملين في المخابرات أو المستجيبين الأوائل أو الجيش.
ينظر الناس إلى روبوتات الدردشة المدعمة بالذكاء الاصطناعي باعتبارها مكانًا آمنًا لمشاركة أفكارهم وأسئلتهم مع الحفاظ على الشعور بعدم الكشف عن هويتهم عندما لا يكون هذا هو الحال، خاصة على المدى الطويل.
فرض الذكاء الاصطناعي القوي
إنني لا أثير هذه المخاوف لكي أكون رافضًا أو كاساندرا، ولكن على أمل إعداد قاعدة أكبر من عملاء الذكاء الاصطناعي لمواجهة ما لا مفر منه حتى يتمكنوا من اتخاذ الخطوات المناسبة الآن قبل حدوث شيء ما.
وهذا يعني فحص مدى استعدادهم للمخاطرة، سواء كانت شخصية أو مهنية أو تنظيمية، لأنهم على استعداد للمشاركة مع الذكاء الاصطناعي والسماح بتخزينها إلى الأبد على خوادم الطرف الثالث التي يُنظر إليها على أنها أهداف غنية. وهذا يعني أنه يجب على المستخدمين فحص البيانات الحساسة، إن وجدت، التي يشعرون بالارتياح عند مشاركتها مع مؤسسة خارجية.
بالنسبة للشركات، التي غالبًا ما يكون لديها سياسات لتصنيف البيانات، يكون القيام بذلك أسهل. بالنسبة للمستخدمين الشخصيين، قد يكون هذا أكثر صعوبة. بمجرد اكتمال هذا الفحص، فهذا يعني اتخاذ خطوات لضبط السلوك، مرة أخرى سواء على المستوى الشخصي أو التنظيمي، لتتماشى مع الرغبة في المخاطرة.
قد يعني هذا تطوير وتنفيذ و(الأهم من ذلك) إنفاذ سياسات قوية لاستخدام الذكاء الاصطناعي داخل شركتك. قد يعني هذا أيضًا البحث في برامج الدردشة الآلية قبل الاستفادة منها لطرح أسئلة شخصية و/أو حساسة قد لا ترغب في طرحها علنًا في حالة حدوث انتهاك كبير.
خرق كبير
من الواضح أن الذكاء الاصطناعي وتطوره السريع المستمر له آثار مذهلة ورائعة على الشركات والأفراد على حد سواء. لكن مكانة هذه الشركات كأهداف ذات قيمة عالية للجهات الفاعلة في مجال التهديد المتقدم يعني أنه من المؤكد أنها مجرد مسألة وقت حتى يحدث اختراق كبير.
من الأفضل للمستخدمين أن يفكروا الآن في البيانات التي يرغبون في تجنب كشفها في حالة حدوث انتهاك كبير عن طريق الامتناع عن تقديمها في المقام الأول.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات