Proteger a revolução da IA
Sim, vamos fazer isso. Vamos falar sobre a explosão de ferramentas de inteligência artificial (IA) e como abordá-las do ponto de vista da segurança cibernética em sua organização.
No ano passado, ferramentas de IA como Midjourney, Stable Diffusion, Dall·E, ChatGPT, Jasper, LLaMa, Rewind e outras foram de nicho para mainstream e até o pleno panpsiquismo. Assim como eu, você provavelmente ficou maravilhado com os casos de uso imaginativos para pesquisa, criatividade e produtividade. E se você já usou alguma dessas ferramentas, sabe que é hipnótico observá-las interpretar comandos, gerar respostas e, com apenas algumas ações do usuário, aprimorar e aprofundar seus resultados.
A velocidade e facilidade dessas ferramentas para usuários de todos os níveis de habilidade é um verdadeiro avanço. Pessoalmente, descobri que os resultados do modelos de linguagem ampla são menos atraentes do que suas contrapartes visuais; mas, em geral, o processo interativo e “generativo” é notável. Em comparação com os recursos abertos existentes, como Google, StackOverflow e Wikipedia, as ferramentas de IA generativas representam um salto incrível ao fornecer resultados baseados no uso que se baseiam em interações, em vez de simplesmente fornecer inteligência geral. Ao oferecer velocidade e agilidade excepcionais, a interatividade supera os métodos tradicionais de pesquisa, recuperação e síntese, trazendo as informações de forma eficaz para o primeiro plano.
Veja por exemplo esta imagem abaixo, que eu “imaginei” com o Midjourney “Uma pintura de parede de uma civilização antiga iluminada pela luz de um incêndio onde os hieróglifos parecem mostrar uma civilização usando um computador e inteligência artificial.”
Fonte da imagem: gerada pela IA Midjourney - imaginada por mim
Dentro de nossas organizações coletivas, existem oportunidades incríveis para usar ferramentas de IA. Podemos usá-las para gerar código de computador, desenvolver documentação de usuário e conteúdo voltado para o consumidor, aliviar o fardo do atendimento ao cliente ou produzir bases de conhecimento mais úteis para integração de novas contratações e compartilhamento de conhecimento entre organizações. Esses e outros casos de uso podem, em última instância, gerar bilhões de dólares em novos negócios e valor comercial.
Apenas por diversão, pedi ao ChatGPT para “escrever uma política corporativa com listas de verificação para o Diretor de Segurança da Informação validar os riscos de segurança atuais com ferramentas de IA e fornecer um resumo de uma página como folha de rosto para o Conselho de Administração e a equipe de liderança executiva” e aqui está a resposta que recebi.
Se você é como eu, provavelmente está preocupado com as questões óbvias de segurança e legais que essas ferramentas apresentam, além de seu incrível potencial. Como líderes, devemos nos perguntar: "Estou alinhado com toda a minha organização em relação aos possíveis riscos e oportunidades apresentados pelas tecnologias de IA?" e, em caso afirmativo, como garantir que o uso dessas ferramentas seja contido para evitar danos graves?
Quando converso com meus colegas de segurança cibernética, há uma divisão de 50/50 entre aqueles que estão bloqueando o acesso a essas tecnologias e aqueles que as estão adotando. Já vi esse filme antes, onde bloquear completamente contorna o endereço de um risco de segurança. O resultado para os líderes de segurança é que nos encontramos desalinhados com nossas empresas e nossos colegas, que inevitavelmente encontram maneiras de contornar nossas restrições. Portanto, agora é o momento de enfrentar essa divisão, evitar sermos luditas e, em vez disso, lidar com a realidade de que as pessoas em nossas organizações já estão usando essas ferramentas e, por meio de liderança, podemos permitir isso de forma a reduzir os possíveis riscos.
Por onde devemos começar? Definir algumas diretrizes importantes para nossas organizações pode ajudar a reduzir o risco sem sufocar o potencial que as ferramentas de IA oferecem.
1. Manter o IP fora dos sistemas abertos. Pode parecer óbvio, mas não podemos alimentar informações altamente regulamentadas, dados controlados ou código-fonte em um modelo de IA aberto ou fora de nosso controle. Da mesma forma, devemos evitar inserir dados de clientes, informações de funcionários ou outros dados privados em ferramentas de IA abertas. Infelizmente, podemos encontrar exemplos de tais ações todos os dias. (Veja, por exemplo, o incidente de vazamento de código na Samsung.) O problema é que a maioria das ferramentas de IA generativa não garante que essas informações permanecerão privadas. Na verdade, elas são explícitas ao afirmar que usam informações para conduzir pesquisas e, em última análise, melhorar os resultados futuros. Assim, no mínimo, as organizações podem precisar atualizar as políticas de confidencialidade e treinar funcionários para ajudar a garantir que informações confidenciais fiquem fora dessas ferramentas de IA.
2. Garantir a veracidade para evitar responsabilidades. Se você já interagiu com uma ferramenta de IA, pode descobrir que as respostas às solicitações geralmente são apresentadas sem contexto. E você também pode descobrir que essas respostas nem sempre são precisas. Algumas respostas podem não ser baseadas em informações atuais. O ChatGPT, por exemplo, usa informações coletadas até setembro de 2021.
Fonte da imagem: ChatGPT
Claro, todos nós sabemos que o atual primeiro-ministro é Rishi Sunak, e Liz Truss foi a sucessora de Boris Johnson. Essa resposta e limitação atual não diminui o poder dessas ferramentas, mas nos ajuda a entender os riscos atuais com mais clareza, como evidenciado por este exemplo em que advogados que usaram conteúdo gerado por IA em processos judiciais descobriram que o conteúdo referia-se a casos completamente fictícios.
3. Prepare-se para a “IA ofensiva”. Como é o caso de muitas novas tecnologias, os invasores cibernéticos têm sido rápidos em explorar ferramentas de IA para fins criminosos. Como os invasores estão usando IA para o mal? Eles podem encontrar uma imagem sua ou uma gravação de sua voz na internet e criar um “deepfake” usando ferramentas de IA. Eles podem usar a versão falsa de você para desviar fundos da empresa ou fazer phishing com colegas, deixando mensagens de voz fraudulentas que solicitam credenciais de login. As ferramentas de IA também podem ser usadas para gerar código malicioso que aprende rapidamente e melhora sua capacidade de realizar seus objetivos.
Combater o uso malicioso de IA pode exigir… IA. As ferramentas de segurança que incorporam recursos de IA e aprendizado de máquina (ML) podem oferecer algumas boas defesas contra a velocidade e a inteligência de ataques ofensivos de IA. Recursos de segurança adicionais podem ajudar as organizações a monitorar o uso de ferramentas de IA, restringir o acesso a ferramentas específicas ou limitar a capacidade de fazer upload de informações confidenciais.
Então, como se proteger contra os riscos que as ferramentas de IA podem apresentar? O primeiro passo é reconhecer que a IA já está aqui, e veio para ficar. As ferramentas de IA generativa disponíveis hoje mostram o tremendo potencial da IA para ajudar as empresas a melhorar a eficiência, aumentar a produtividade e até estimular a criatividade. Ainda assim, como líderes de segurança cibernética, devemos estar cientes dos possíveis desafios de segurança que essas ferramentas podem apresentar. Ao implementar as diretrizes corretas, aumentar o treinamento interno e, em alguns casos, implementar novas soluções de segurança, você pode reduzir a probabilidade de que essas ferramentas de IA potencialmente poderosas se tornem um problema.
A Cloudflare adotou uma abordagem Zero Trust para habilitar e proteger sua rede e funcionários em relação à IA. Saiba mais sobre como a Cloudflare equipa as organizações para fazer o mesmo.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Autoria
Oren Falkowitz — @orenfalkowitz
Diretor de segurança, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como as ferramentas de IA apresentam novos desafios de segurança organizacional
Onde sua organização se enquadra na revolução da IA
Três maneiras de reduzir o risco sem sufocar o potencial que as ferramentas de IA oferecem