Kunstmatige intelligentie heeft al tientallen jaren invloed op allerlei aspecten van ons dagelijks leven. En ongeacht wat je ervan vindt, gaat dat niet meer veranderen. Maar nu AI zich verder ontwikkelt en steeds meer deel uitmaakt van het dagelijkse leven, is het belangrijk voor organisaties om serieus te kijken naar het potentieel ervan – als hulpmiddel en als bedreiging.
Met AI kan iedereen sneller en op grotere schaal te werk gaan, zowel ten goede als ten kwade.
Machine learning is wijdverbreid in de zakenwereld en dus een aantrekkelijk hulpmiddel... en doelwit.
De hype rondom AI dreigt het zicht op de risico's te ontnemen.
De mogelijke nieuwe bedreigingen zijn talrijk en gevarieerd.
Voor het bestrijden van met AI gegenereerde bedreigingen is een nieuwe aanpak nodig – met behulp van AI.
Een van de dingen die het voorspellen van de daadwerkelijke implicaties van generatieve AI zo moeilijk maken, is de enorme hype rondom het onderwerp. Zelfs de benaming is al bijna een cliché geworden. Wil je een volle zaal tijdens een technologiecongres? Zet dan 'AI' in de titel van je presentatie. Wil je de machine-learningfunctionaliteit in je software benadrukken? Gebruik dan de term 'AI' in je marketingmateriaal. Helaas is het effect hiervan dat de realistische aspecten van de technologie ondergesneeuwd raken; de voordelen en gevaren worden allemaal zo opgepompt dat de aandacht voor het onderwerp als geheel begint te verslappen.
Dit effect wordt versterkt door het feit dat veel mensen, vooral diegenen die wat minder technisch zijn aangelegd, eigenlijk niet goed begrijpen wat AI nu eigenlijk is.
Eenvoudig gezegd is kunstmatige intelligentie precies wat de term al aangeeft: het gebruik van een computersysteem voor het simuleren van menselijke intelligentie.
Voorbeelden zijn taalverwerking, spraakherkenning, kennissystemen en machine vision.
Dit betreft computersystemen die zijn gebaseerd op algoritmen waarmee ze automatisch kunnen leren en zich kunnen aanpassen, nadat ze zijn getraind met een dataset.
Voorbeelden: algoritmen voor het aanbevelen van inhoud, voorspellende analyses, beeldherkenning.
Dit is een techniek van machine learning waarbij lagen met algoritmen en rekeneenheden worden gebruikt voor het simuleren van een neuraal netwerk, zoals het menselijk brein.
Voorbeelden: Large Language Models, vertaling, gezichtsherkenning.
Content authenticity
Identity manipulation
Phishing with dynamite
Prompt injection
Machine Hallucinations
Attack sophistication
Custom malware
Poisoned data
Privacy leaks
Authenticiteit van inhoud
Generatieve AI kan zeer realistische kopieën van originele inhoud maken. Ten eerste brengt dat risico's met zich mee met betrekking tot intellectueel eigendomsrecht voor bedrijven die AI gebruiken om content te genereren. Daarnaast kunnen cybercriminelen allerlei gegevens stelen en realistisch kopiëren, om ze vervolgens als origineel te verkopen of te gebruiken voor verdere aanvallen.
Manipulatie van identiteit
Met generatieve AI kan in luttele seconden ultrarealistisch beeld en geluid worden gemaakt, en kunnen live videobeelden worden gewijzigd op het moment dat ze worden gegenereerd. Dit is slecht voor het vertrouwen in allerlei belangrijke systemen, van gezichtsherkenningssoftware tot juridisch beeldbewijs tot politieke campagnes. Hiermee wordt het vertrouwen in vrijwel elke vorm van visuele identiteit ondermijnd.
Phishing met dynamiet
Aanvallers kunnen generatieve AI gebruiken voor het realistisch namaken van gezichten, stemmen en schrijfstijlen, en voor het nabootsen van bedrijfslogo's en merken. Die kunnen vervolgens worden ingezet voor zeer effectieve phishing die moeilijk te herkennen is.
Prompt injection
Omdat veel organisaties kant-en-klare modellen voor generatieve AI gebruiken, stellen ze de informatie die ze gebruiken voor het trainen ervan en in prompts bloot aan mogelijke injection-aanvallen die worden uitgevoerd op veelgebruikte AI-modellen. Zonder strenge beveiligingsmaatregelen en regelmatige updates is een exploit voor het basismodel een risico voor elk bedrijf dat gebruikmaakt van dat model.
Machine-hallucinaties
De spraak en tekst die door AI wordt gegenereerd, is in het algemeen behoorlijk overtuigend, maar niet altijd juist. Dit kan een probleem zijn voor organisaties die op AI vertrouwen voor het genereren van informatie voor gebruikers, of machine learning gebruiken voor het opsporen van dreigingen. In dergelijke situaties kunnen afwijkende resultaten behoorlijk kostbaar zijn.
Geraffineerde aanvallen
Omdat AI op bovenmenselijke snelheid functionele code kan schrijven, kan het potentieel worden gebruikt om aanvallen op te schalen met ongekende snelheid en complexiteit. Daarnaast kan AI worden gebruikt voor het opsporen van kwetsbaarheden in gecompromitteerde code, waarmee aanvallers zich gemakkelijker toegang kunnen verschaffen.
Maatwerkmalware
De meeste populaire LLM's zijn tot op zekere hoogte beveiligd tegen gebruikers die kwaadaardige code maken, maar geavanceerde cybercriminelen kunnen nog altijd exploits en achterdeurtjes vinden. Ook kunnen gestolen of gekopieerde modellen worden ontdaan van deze beveiligingsmaatregelen, met als gevolg dat boosdoeners aangepaste exploits kunnen maken die vrijwel onmogelijk zijn op te sporen.
Datavergiftiging
Aanvallen hoeven niet per se misbruik te maken van de AI zelf. In plaats daarvan kunnen de data die worden gebruikt om het machine-learningmodel te trainen het doelwit worden, met als doel het genereren van vervalste output. Die kan vervolgens worden gebruikt om exploits te maken binnen het model zelf en bijvoorbeeld een DNA-keten in een database met criminelen te vervalsen; of er kunnen simpelweg resultaten worden geproduceerd om de organisatie schade toe te brengen.
Datalekken
AI die is getraind met gevoelige gegevens of die verwerkt, kan die gegevens mogelijk openbaarmaken; door een bug, zoals is gebeurd met enkele van de grote commerciële modellen, of als gevolg van een gerichte aanval.
We vroegen ChatGPT wat de belangrijkste dreigingen zijn die uitgaan van generatieve AI. Dit kregen we als antwoord:
Generatieve AI biedt geweldige kansen op het gebied van innovatie en creativiteit, maar brengt ook unieke uitdagingen en risico's op het gebied van cybersecurity met zich mee. Dit zijn een aantal zaken om te overwegen:
De functies die AI zo'n handige tool maken voor criminelen kunnen en moeten ook worden gebruikt voor het verbeteren van cybersecuritymaatregelen. Dit zorgt er niet alleen voor dat organisaties effectieve en flexibele cybersecuritytechnologieën kunnen ontwikkelen, maar ook beter kunnen omgaan met menselijke kwetsbaarheden.
Voorbereiden op een post-quantumwereld
Crypto-assets identificeren voor PQC-gereedheid
Gartner PQC-onderzoek 2022