Фото: Ричард А. Брукс/Agence France-Presse/Getty Images
от Автора: James Rundle May 25, 2023 5:30 am ET | WSJ Pro
Руководители служб безопасности говорят, что преимущества искусственного интеллекта очевидны, но что обещания и риски раннего генерирующего ИИ преувеличены.
Платформы генеративного искусственного интеллекта, такие как OpenAI ChatGPT, привлекли внимание благодаря своей способности отвечать на вопросы в разговоре, писать эссе и выполнять другие задачи по-человечески.
Поставщики систем безопасности расхваливают преимущества этой технологии, заявляя, что она может расширить возможности специалистов-аналитиков за счет анализа и перегонки данных из совершенно разных источников в удобоваримый отчет. В апреле Google выпустила продукт generative AI, ориентированный на безопасность, присоединившись к поставщикам кибертехнологий, включая SecurityScorecard и ZeroFOX.
Некоторые руководители служб информационной безопасности видят потенциал технологии, но не убеждены, что в ее нынешнем виде она дает что-то новое. Технология машинного обучения уже много лет применяется в таких областях, как подразделения по надзору за рынком фондовых бирж, выполняющие аналогичные функции анализа данных, а также в отделах кибербезопасности крупных компаний, таких как розничный торговец Walmart.
Они также не доверяют этому.
“В настоящее время мы в основном рассматриваем каждый результат и пытаемся понять, можем ли мы доверять не только работе, которая была проделана для получения результата, с точки зрения источников, из которых он был подготовлен, но и самому результату”, — сказал Джастин Шаттак, CISO в insurer Resilience. Известно, что генеративные системы искусственного интеллекта выдают неточные или вводящие в заблуждение результаты, иногда из-за слишком расплывчатых подсказок, а также из некачественных источников данных. Ограничения технологии означают, что она может столкнуться с проблемами при выполнении относительно простых запросов, таких как решения математических задач, выраженных в разговорной форме.
Шаттак сказал, что его команда экспериментировала с генеративным искусственным интеллектом для анализа информации о безопасности, генерируемой его системами. Искусственный интеллект может идентифицировать интересующие данные, которые могут быть пропущены аналитиками-людьми, считывающими множество предупреждений.
“Мы обнаружили, что можем доверять ему при таком типе рабочей нагрузки”, — сказал он.
Правительственные чиновники говорят, что они все еще оценивают влияние, которое варианты искусственного интеллекта, такие как генеративные приложения, могут оказать в будущем, прежде чем давать рекомендации. Джон Катко, бывший конгрессмен от 24-го округа Нью-Йорка и высокопоставленный член Комитета по внутренней безопасности Палаты представителей до начала этого года, сказал, что истинный потенциал технологии еще предстоит реализовать, учитывая скорость развития.
“Где будет искусственный интеллект через шесть месяцев, и как это изменит ситуацию? Посмотрите, как сильно она изменилась за последние три месяца”, — сказал он, имея в виду ее широкое внедрение поставщиками программного обеспечения.
По мнению Лючии Миличэ Стейси, директора CISO в компании Proofpoint по кибербезопасности, скорость разработки и интерес общественности к технологии привели к массовому внедрению искусственного интеллекта поставщиками технологий. Иногда это связано с коммерческим императивом, но также и с опасениями, что если они не будут использовать это, то это сделают хакеры, сказала она.
“Наша работа как руководителей служб безопасности заключается в управлении этим риском, и каждый раз, когда появляется новая технология, у субъекта угрозы появляется новая возможность использовать ее, чтобы проникнуть в мое окружение”, — сказала Милика Стейси.
Нет никаких сомнений в том, что генеративный искусственный интеллект является благом для фишинговых злоумышленников, которые в противном случае могут быть сбиты с толку плохо сформулированными мошенническими электронными письмами. ChatGPT может написать для них грамматически правильную копию. Компания по кибербезопасности Darktrace сообщила в апрельском отчете, что в период с января по февраль она наблюдала рост количества спам-писем клиентам на 135% при заметном улучшении грамматики и синтаксиса английского языка. Компания предположила, что это изменение произошло из-за того, что хакеры использовали генеративные приложения искусственного интеллекта для разработки своих кампаний.
Компании, включая гигантов электроники Samsung Electronics и Apple, кредитора JPMorgan Chase и телекоммуникационную компанию Verizon Communications, запретили или ограничили использование сотрудниками ChatGPT и аналогичных программ. Меры были введены из-за опасений, что сотрудники могут вставить конфиденциальную информацию в эти инструменты, которая затем может привести к утечке или отправке коммерческих секретов обратно в модель искусственного интеллекта для обучения.
Проблемы должны быть решаемы с помощью существующих процедур защиты данных и нескольких новых средств контроля, сказал Супро Гоуз, CISO в Eagle Bancorp, региональном банке в Вирджинии, Вашингтоне, округ Колумбия, и Мэриленде. По его словам, новый набор инструментов искусственного интеллекта не обязательно сопряжен с рисками, с которыми не могут справиться хорошее обучение сотрудников и классификация данных.
Команды по кибербезопасности должны сканировать корпоративные сети, чтобы найти, где сотрудники используют ChatGPT и другие бесплатные утилиты искусственного интеллекта, сказал Гоуз. “Осознанность — это первое, что у вас должно быть”, — сказал он. Поставщики услуг сетевого обнаружения и реагирования, включая сети ExtraHop, добавляют такие функции визуализации в свои инструменты.
По его словам, компаниям придется как обучать сотрудников не использовать конфиденциальную или служебную информацию с помощью инструментов генерирующего искусственного интеллекта, так и устанавливать цифровые фильтры и средства контроля, чтобы инструменты не могли получать такие данные. “Реальность такова, что риск очень, очень похож на отправку электронного письма”, — сказал он.
— Ким С. Нэш внесла свой вклад в эту статью.
Напишите Джеймсу Рандлу по адресу james.rundle@wsj.com
Appeared in the May 26, 2023, print edition as ‘Security Chiefs: Rewards, Risks Of Generative AI Are Inflated/Появилась в печатном издании от 26 мая 2023 года под названием «Руководители службы безопасности: награды и риски генеративного искусственного интеллекта завышены».