L'intelligenza artificiale sta influenzando molti aspetti della nostra vita attuale, ma in realtà lo fa già da decenni. Nel bene e nel male, questa situazione andrà avanti. Tuttavia, ora che l'AI è sempre più efficace e profondamente intrecciata con la nostra realtà quotidiana, le aziende sono tenute a valutarne realisticamente l'intero potenziale sia come strumento che come minaccia.
L'AI permette ad attori sia buoni che cattivi di operare più rapidamente su larga scala
La prevalenza del machine learning nelle aziende rende l'AI uno strumento e un target interessante
L'entusiasmo per l'AI può nascondere i suoi rischi
La portata delle minacce emergenti è enorme e varia
Per contrastare le minacce generate dall'AI servono nuovi approcci alla sicurezza basati sull'AI.
Ciò che rende difficile prevedere le reali implicazioni dell'AI generativa è il fatto che sia circondata da un gigantesco e costante clamore. Anche il termine stesso è diventato una sorta di cliché. Vuoi riempire la sala di un evento tecnologico? Metti "AI" nel titolo della tua presentazione. Vuoi attirare l'attenzione su una funzione di machine learning del tuo software? Promuovila come "AI". Queste circostanze hanno un effetto negativo: nascondono la realtà della tecnologia, esaltando troppo i benefici e i rischi, e rendendo al contempo indifferenti molte persone sull'argomento nel suo complesso.
A questo si aggiunge il fatto che molti, in particolare i meno esperti di tecnologie, non sanno cosa sia di preciso l'AI.
In parole povere, l'intelligenza artificiale è esattamente ciò che sembra: l'uso di sistemi informatici per simulare i processi di intelligenza umana.
Esempi: elaborazione del linguaggio, riconoscimento vocale, sistemi esperti e visione artificiale.
Sistemi informatici gestiti da algoritmi che gli permettono di imparare e adattarsi automaticamente dopo essere stati addestrati su un set di dati.
Esempi: Algoritmi di raccomandazione dei contenuti, analisi predittiva, riconoscimento delle immagini
Una tecnica di machine learning che utilizza più livelli di algoritmi e unità di calcolo per simulare una rete neurale come il cervello umano.
Esempi: Modelli linguistici di grandi dimensioni, traduzione, riconoscimento facciale
Content authenticity
Identity manipulation
Phishing with dynamite
Prompt injection
Machine Hallucinations
Attack sophistication
Custom malware
Poisoned data
Privacy leaks
Autenticità dei contenuti
L'AI generativa ha la capacità di creare copie altamente realistiche di contenuti originali. Questo non solo implica potenziali rischi di proprietà intellettuale per le organizzazioni che usano l'AI per generare contenuti, ma permette anche agli aggressori di rubare e copiare realisticamente ogni tipo di dato, per farlo sembrare una creazione originale o per facilitare altri attacchi.
Manipolazione dell'identità
L'AI generativa può creare immagini e video ultra-realistici in pochi secondi e persino modificare i video in tempo reale mentre vengono generati. Questo può minare la fiducia in una serie di sistemi fondamentali, dai software di riconoscimento facciale alle prove video nel campo legale fino alla disinformazione politica, compromettendo la fiducia in quasi tutte le forme di identità visiva.
Phishing ad alto potenziale
Gli aggressori possono utilizzare strumenti di AI generativa per simulare in modo realistico volti, voci e stili di scrittura, nonché emulare l'identità aziendale o del marchio, e utilizzare il tutto per attacchi di phishing ad alta efficacia e difficili da rilevare.
Rischio injection con i prompt
Le tante organizzazioni che utilizzano modelli di AI generativa già pronti, espongono potenzialmente le informazioni usate per addestrare o fornire prompt alle loro istanze ad attacchi di tipo injection perfezionati dagli aggressori per colpire i modelli più diffusi. In assenza di misure di sicurezza rigorose e di aggiornamenti frequenti, un exploit per il modello di base può esporre qualunque organizzazione utilizzi quel modello.
Allucinazioni della macchina
Sebbene l'AI sia nel complesso in grado di creare rapidamente un discorso o un testo convincente, non è sempre accurata. Questo è un problema complesso per le organizzazioni che si affidano all'AI per generare contenuti informativi o di supporto per gli utenti, così come per le organizzazioni che utilizzano il machine learning per rilevare le minacce, perché in entrambi i casi un risultato anomalo può rivelarsi molto costoso.
Accuratezza dell'attacco
Grazie alla sua capacità di scrivere codice funzionale con velocità sovrumana, l'AI può essere impiegata per scalare attacchi con una velocità e una complessità senza precedenti. Inoltre, l'AI può essere utilizzata per individuare le vulnerabilità in una base di codice compromessa e può ampliare il raggio d'azione degli aggressori abbassando la barriera d'ingresso.
Malware personalizzato
Anche se gli LLM più diffusi hanno alcune protezioni contro la creazione di codice malevolo da parte degli utenti, gli aggressori più sofisticati possono trovare exploit e falle. Inoltre, è possibile privare di tali protezioni i modelli rubati o copiati, consentendo agli aggressori di generare rapidamente exploit quasi non rilevabili e altamente personalizzabili.
Dati avvelenati
Gli attacchi non richiedono necessariamente un exploit basato su AI. Possono anche mirare ai dati usati per addestrare un modello di machine learning al fine di falsare l'output. Questa azione si può ulteriormente sfruttare per creare exploit all'interno del modello stesso - come falsificare la sequenza di un DNA in un database criminale - o semplicemente per produrre risultati dannosi per l'organizzazione target.
Fughe di notizie sulla privacy
L'AI addestrata con dati sensibili o coinvolta nella gestione di tali dati, può potenzialmente esporli, sia a causa di un bug, come è accaduto con alcuni dei principali modelli commerciali, sia attraverso un attacco mirato.
Abbiamo chiesto a ChatGPT di descrivere le principali minacce dell'AI generativa. Ecco la risposta:
L'AI generativa, oltre a offrire un incredibile potenziale di innovazione e creatività, comporta anche sfide e minacce uniche nel campo della cybersecurity. Ecco alcuni punti chiave da considerare:
Le caratteristiche che rendono l'AI uno strumento utile per i cattivi attori possono, e devono, essere utilizzate per rafforzare le misure di cybersecurity. Questo non solo consentirà alle organizzazioni di sviluppare tecnologie di cybersecurity più agili ed efficaci, ma anche di gestire meglio le vulnerabilità umane.
Prepararsi al mondo post-quantistico
Identificare gli asset crittografici per la prontezza alla PQC
Report Gartner PQC 2022