Artikel top billede

(Foto: JumpStory)

Er generativ AI en sikkerhedstrussel?

Klumme: Interessen for generativ kunstig intelligens er gået hånd i hånd med en voksende bekymring for kunstig intelligens (AI) i det hele taget, som det fremgår af et åbent brev, der opfordrede til at sætte AI-udviklingen på pause. Men hvor reel er truslen fra AI?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Interessen for generativ kunstig intelligens er gået hånd i hånd med en voksende bekymring for kunstig intelligens (AI) i det hele taget, som det fremgår af et åbent brev, der opfordrede til at sætte AI-udviklingen på pause.

Men hvor reel er truslen fra AI? Og hvilken trussel, hvis nogen, udgør generativ AI, især med hensyn til cyber-sikkerhed?

AI er allerede en forandrings-motor i mange industrier, og den stadig mere raffinerede udvikling mere end antyder, at store disruptive forandringer kan vente forude. Ansatte kan frygte, at deres job bliver overtaget af AI, og allerede i dag ser vi begyndelsen til, hvordan for eksempel indholdsproduktion kan blive overtaget af generativ AI.

AI er så at sige allerede ankommet, men det er nødvendigt at forstå teknologien bedre for at kunne udnytte den rigtigt og over tid finde de konkrete anvendelsesmuligheder.

Frygt for at miste jobs til ny teknologi er ikke noget nyt. Vi så det samme, da samlebåndet i sin tid blev opfundet, og da robotter blev introduceret i produktionsindustrien.

Der er dog en grundlæggende forskel på kunstig intelligens og tidligere teknologiske opfindelser, og det er den iboende evne til at tilpasse sig. Det introducerer et element af uforudsigelighed, som gør mange utilpasse.

I takt med, at generativ AI bliver stadig mere udviklet, vil det blive stadig sværere at adskille mennesket fra AI. De nuværende udgaver af generativ AI har allerede demonstreret en evne til at bestå Turingtesten, det vil sige AI’s evne til få mennesker til at tro, at AI har menneskelige egenskaber.

Hvad gør vi, når vi ikke kan skelne mennesket fra det kunstige? Hvordan kan vi stole på identiteter, data eller korrespondancer?
Den situation vil nødvendiggøre, hvad vi kalder et zero trust-mindset, hvor alle brugere skal være autentificeret, autoriseret og løbende valideret.

Hvordan AI vil udvikle sig - og i hvilket tempo - er stadig uvist, men der er nogle aktuelle og potentielle cyber-sikkerhedsmæssige implikationer, der bør overvejes i mellemtiden.

Skalering af cyber-angreb

For et par år siden blev vi introduceret til AI-genereret kunst, som fik mange kunstnere og grafikere til at vride deres hænder.

Nogle mente dog, at kunstig intelligens kunne hjælpe med at skabe mere ved at udføre gentagne opgaver.

For eksempel kan en illustrator bruge AI til at gentage et mønster, de har skabt, for at fremskynde udfyldningen af resten af en illustration.

Men det samme princip kan cyber-kriminelle anvende, hvis de vil skalere et cyber-angreb.

Det meste hacking foregår manuelt, hvilket betyder, at store cyber-angreb involverer flere mennesker.

Trusselaktører kan bruge AI til at reducere de monotone, tidskrævende elementer af hacking, såsom at indsamle data om et mål.

Nationalstatsaktører, som er blandt de største trusler mod cyber-sikkerheden, har oftere ressourcerne til at investere i sofistikeret kunstig intelligens for at skalere cyber-angreb.

Det vil gøre det muligt for dem at angribe flere mål og dermed potentielt øger deres chancer for at finde og udnytte sårbarheder.

Ondsindede aktører og generativ AI

Brugere kan bede generativ AI om at skabe ondsindet kode eller phishing-svindel, men udviklere hævder, at generativ AI ikke vil reagere på den slags forespørgsler.

Alligevel kan aktører med tvivlsomme motiver muligvis finde indirekte midler til at lokke kode fra generativ AI.

Generative AI-udviklere skal løbende revidere deres parametre for at sikre, at ingen nye sårbarheder er blevet udnyttet; AI's dynamiske karakter kræver konstant årvågenhed.

Trusselaktører kan også bruge generativ kunstig intelligens til at udnytte menneskelige fejl, hvilket i høj grad har betydning for sikkerheden.

Kunstig intelligens kan bruges til social engineering, som refererer til en bred vifte af ondsindede aktiviteter, der udnytter psykologisk manipulation via menneskelige interaktioner for at fremtvinge et brud på datasikkerheden.

Generativ AI's betydelige evner til at kommunikere sprogligt på en måde, der virker naturlig, kan være en meget effektiv måde til at systematisere forsøg på social engineering.

Ondsindede aktører og generativ AI

Generativ AI kan både bruges som et effektivt forsvar mod cyberkrimimalitet, og som et effektivt redskab til at begå cyberkriminalitet.

En af de vigtigste konklusioner fra seneste udgave af Verizons årlige Data Breach Investigations Report (DBIR) er den væsentlige rolle, som det menneskelige element spiller, når vi taler om brud på datasikkerheden - uanset om det er brugen af stjålne legitimationsoplysninger, phishing eller grundlæggende menneskelige fejl.

Folk er modtagelige for social engineering-taktikker, som ondsindede aktører med generativ AI kan implementere i stor skala.

Denne evne til at skalere sofistikeret digital svindel kan i stigende grad gå ud over både borgere, forbrugere og virksomheder.

Det er en trussel, som ikke bliver mindre i takt med, at mange medarbejder i stigende grad veksler mellem at arbejde hjemmefra og på kontoret, mellem at bruge virksomhedens enheder og egne enheder.

Udsigten til en øget trussel mod datasikkerheden styrker argumentet for en “never trust, always verify” tilgang – en metode, der anerkender den realitet, at sikkerhedstrusler kan komme fra hvor som helst, inklusive internt i en virksomhed.

En zero trust-tilgang kræver ikke kun streng autentificering af brugere, men også af applikationer og infrastruktur, herunder forsyningskæde, cloud, switche og routere.

Selvom opbygning af zero trust-arkitekturer kræver en stor indsats, vil AI i høj grad kunne forenkle processen.

Med andre ord kan teknologien, der har potentialet til at skabe en ekspansiv trussel, også effektivisere implementeringen af omfattende sikkerhedsprotokoller, der er nødvendige for at holde sådanne angreb på afstand.

Ondsindede aktører og generativ AI

Realiteten er den, at AI er sluppet ud af flasken, og at det ikke er muligt få den tilbage igen.

AI er et værktøj, og ligesom ethvert værktøj kan det bruges produktivt eller destruktivt.

Vi skal bruge det til vores fordel, og samtidig være gode til at forudse, hvordan aktører med slette motiver kan udnytte teknologien.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.