Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I denne måned runder ChatGPT sit tredje leveår. Tre år, der har været startskuddet til den helt store AI-fest, hvor generativ AI (GenAI) har været emnet her, der og alle vegne.
Danmark har også her været med til at sætte lys i kagen og vifte med flaget.
I en analyse fra Dansk Industri understreges det af, at syv ud af 10 danske virksomheder svarer, at de benytter GenAI på arbejdspladsen.
Den hurtige udvikling har dog også skabt bekymring. Ifølge Dell Technologies’ Catalyst Index peger 56 procent af danske forretnings- og it-beslutningstagere på datasikkerhed og håndtering af fortrolige og personfølsomme data som den største barriere for at implementere AI og GenAI-tiltag i virksomhederne.
Denne bekymring er velbegrundet, men næres desværre ofte af myter om, at det er komplekst at beskytte AI-systemer.
I virkeligheden handler det om at anvende grundlæggende cybersikkerhedsprincipper, som er tilpasset de særlige risici og adfærdsmønstre, som AI-systemer indebærer.
Jeg ser desværre, at disse antagelser i ledelses- og sikkerhedsteams kan føre til forkerte prioriteringer og myter, som kan resultere i svagere sikkerhed eller forpassede forretningsmuligheder.
Lad mig derfor tage myterne én for én.
Myte 1: AI-systemer er for komplekse at sikre
Det er almen kendt, at skadelige aktører benytter kunstig intelligens til forskellige typer hackerangreb såsom ransomware-, zero-day- og DDoS-angreb (Distributed Denial of Service).
Selvom hackere kan udnytte ubeskyttede AI-systemer til at manipulere svar og opnå adgangsrettigheder på den større angrebsflade, som kommer med alle nye systemer, så er det en misforståelse, at AI-systemer er for komplekse at beskytte.
I virkeligheden kan organisationer og sikkerhedsteams sikre sig effektivt ved at tilpasse eksisterende cybersikkerhedspraksisser til AI-trusler og integrere sikkerhed fra starten.
Ved at anvende zero-trust principper, herunder identitetsstyring, rollebaseret adgangsstyring og kontinuerlig verificering kan virksomheder forstærke cyberforsvaret.
Dertil bør der udvikles datapolitikker for adgangskontrol, beskyttelse og backup, så trusler som prompt-injektion, manglende compliance eller hallucinationer nedbringes med stærke sikkerhedsbarrierer.
Myte 2: Der findes ikke eksisterende værktøjer til at sikre AI
I mange organisationer kan der herske en opfattelse af, at det kræver nye sikkerhedsløsninger at beskytte nye AI-systemer, og at eksisterende sikkerhedsværktøjer og -investeringer ikke er brugbare.
Selvom kunstig intelligens er en ny teknologi med sine egne særtræk, er basale sikkerhedsforanstaltninger som identitetsstyring, netværkssegmentering og databeskyttelse fortsat effektive.
Derfor er det fortsat afgørende at opretholde en stærk cyberhygiejne med regelmæssige systemopdateringer, effektiv adgangskontrol og løbende sårbarhedsstyring.
For at adressere AI-trusler, såsom prompt-injektion eller kompromitteret træningsdata, kan virksomheder tilpasse deres eksisterende cybersikkerhedsstrategier, frem for at erstatte dem.
Et eksempel kan være regelmæssigt at logge og overvåge prompts og svar i de store sprogmodeller (LLM’er), så uregelmæssig og skadelig brug opdages så tidligt som muligt.
Eksisterende it-arkitektur og -værktøjer bør dog altid evalueres først, så der opnås forståelse for, hvordan de nuværende værktøjer understøtter AI workloads. Gennemsyn af nuværende sikkerhedsværktøjer vil hjælpe med at spotte, hvor der bør sættes ind.
Myte 3: Sikring af AI handler udelukkende om at beskytte data
LLM’er bruger og genererer store mængder af data, og derfor er der opstået en misforståelse om, at beskyttelse af AI-systemer udelukkende handler om at beskytte data.
Selvom beskyttelse af input og output er afgørende, så involverer sikringen af AI-systemer hele AI-økosystemet, herunder modeller, API’er, systemer og enheder.
LLM’er er sårbare overfor angreb, hvor der manipuleres med input-data, så der produceres misledende eller skadelige svar.
For at adressere denne risiko og skabe pålidelige svar, kræves der værktøjer og procedurer til at administrere compliance-politikker og tjekke inputs og outputs.
API’er er en adgangsvej til AI-funktionalitet, og skal sikres med stærk autentificering, så uautoriseret adgang blokeres.
Ved at udvide fokus fra udelukkende at beskytte data, kan organisationer bygge et mere modstandsdygtigt og troværdigt AI-miljø.
Myte 4: Agentisk AI erstatter behovet for menneskeligt tilsyn
Agentisk AI har introduceret autonome agenter, der selvstændigt træffer beslutninger.
Det har medført en misforståelse om, at behovet for menneskeligt tilsyn med tiden erstattes.
Sandheden er, at agentiske AI-systemer skal overvåges for at sikre, at de agerer etisk, forudsigeligt og i overensstemmelse med menneskelige værdier.
Uden menneskeligt tilsyn risikerer man, at systemerne afviger fra opsatte mål eller udviser utilsigtet og potentiel skadelig adfærd.
For at forebygge misbrug og sikre ansvarlig implementering skal organisationer sætte grænser for AI-værktøjerne og anvende flere sikkerhedslag, så mennesker involveres i kritiske beslutninger.
Regelmæssige kontroller og dybdegående tests er essentielle for at øge transparens og ansvar på tværs af AI-drift. Menneskeligt tilsyn er altså fundamentet for sikker og effektiv agentisk AI.
Vejen er ligetil
Myterne om AI-sikkerhed kan virke som en bremseklods, men vejen til at sikre AI-systemer er faktisk ligetil.
At sikre AI handler i bund og grund ikke om at opfinde helt nye metoder, men om at anvende velkendte cybersikkerhedsprincipper og tilpasse dem til AI-risici.
På den måde kan organisationer opbygge sikkerhed og modstandsdygtighed uden unødig kompleksitet eller omkostninger.
Aflivningen af disse myter handler ikke bare om at rette misforståelserne, det handler om at klæde teams ordentligt på til at tage informerede proaktive skridt mod ansvarlig AI-implementering.
Fremtiden med AI er her, og organisationer skal forberede sig på at sikre den.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
