Yapay Zeka Çözümleri Yeni Gölge BT'dir - Dünyadan Güncel Teknoloji Haberleri

Yapay Zeka Çözümleri Yeni Gölge BT'dir - Dünyadan Güncel Teknoloji Haberleri
Satıcı Değerlendirmelerinizde Kritik Soruları Sorun

Ekibiniz ilerledikçe satıcı değerlendirmeleri Bağımsız yapay zeka araçları arasında, incelenmekte olan kurumsal şirketlere uyguladığınız titizliğin aynısını ısrarla sürdürün

Yapay zeka ile ilgili veri sızıntılarının ve ihlallerinin etkisinin dolar ve kaybedilen fırsatlar açısından gösterilmesi, siber risklerin iş ekipleri arasında yankı bulmasını sağlar AppOmni’nin en yeni CISO Kılavuzu, yapay zeka güvenliğiyle ilgili yaygın yanlış anlamaları inceleyerek günümüzün en kutuplaştırıcı BT konusu hakkında dengeli bir bakış açısı sunar Ayrıca ekibinizin işletmeyle çalışma şeklini de ayarlamanız gerekebilir Ancak yakında, yapay zekayı Google Workspace, Salesforce veya M365 gibi her gün kullandıkları SaaS sistemlerine bağlayarak üretkenlik artışlarını artırmak isteyecekler

Yapay zeka araçları veri sızıntıları, ihlalleri ve yapay zekadan SaaS’a bağlantıların neleri gerektirdiğini anlamaları için sık sık eğitim sağlayın Ancak inceleme prosedürlerinin ve protokollerinin yerini alması amaçlanmamıştır

SaaS yığınınızı uzun vadede yapay zeka araçlarından korumanın en iyi yolu, işletmenin ekibinizi bir engel olarak değil, bir kaynak olarak gördüğü bir ortam yaratmaktır

  • Uyumluluk riski: Bağımsız yapay zekanın olgunlaşmış gizlilik politikaları ve iç düzenlemelere sahip olmaması, uyumsuzluk sorunları nedeniyle ağır para cezalarına ve cezalara yol açabilir
  • Ürün güvenlik açıkları: Genel olarak, yapay zeka aracını oluşturan kuruluş ne kadar küçük olursa, geliştiricilerin yaygın ürün güvenlik açıklarını gidermede başarısız olma olasılığı da o kadar artar Bu riskler daha da artıyor Yapay zeka araçları kurumsal SaaS sistemlerine bağlanır

    Uygun olmadan SaaS güvenlik duruşu yönetimi (SSPM) araçları Yetkisiz yapay zekadan SaaS’a bağlantıları izlemek ve çok sayıda dosya indirme gibi tehditleri tespit etmek için kuruluşunuz, SaaS veri ihlallerine yönelik yüksek bir riskle karşı karşıyadır İçerik oluşturma doğruluğuyla ilgili tuzakların ötesinde, akademisyenler ve bilim dergisi editörleri gibi giderek artan sayıda grup dile getiriyor Yapay zeka yazarlığının ifşa edilmesine ilişkin etik kaygılar SSPM bu riski önemli ölçüde azaltır ve yaşamınızın hayati bir parçasını oluşturur SaaS güvenlik programı Elbette bu, veri ihlallerine veya sızıntılarına karşı bir koruma değildir ve bağımsız satıcılar, kurumsal müşterilerini yatıştırma umuduyla gerçeği abartabilirler

    2 Neredeyse her bağımsız yapay zeka aracı, “eğitim verileri veya hata ayıklama amacıyla” istemleri saklıyor ve bu verileri açığa çıkmaya karşı savunmasız bırakıyor

    Yapay zeka araçları büyük ölçüde şunlara dayandığından Yapay zekadan SaaS’a bağlantı oluşturmak için OAuth erişim belirteçleriAI planlama asistanına Slack, Gmail ve Google Drive ile sürekli API tabanlı iletişim sağlanır Çalışanlar bir LLM’ye hangi verilere izin verildiğini veya AI araçları için hangi onaylı satıcıları seçebileceklerini bildiklerinde, ekibinizin ilerlemeyi durduran değil, güçlendiren bir kişi olarak görülmesi çok daha muhtemeldir Kuruluşunuz, içerik üretimi veya optimizasyonu için insan incelemeleri ve doğrulama protokolleri olmadan bir Yüksek Lisans’a güvenmeyi umuyorsa, yanlış bilgilerin yayınlanma olasılığı yüksektir Üretken yapay zeka güvenlik riskleriyle ilgili bir Hacker News makalesi, bu noktayı, çalışanın görev yönetimini ve toplantılarını izleyip analiz ederek zamanı daha iyi yönetmeye yardımcı olacak bir yapay zeka planlama asistanı bulan bir çalışan örneğiyle gösteriyor

    Bağımsız Yapay Zekayı Kurumsal SaaS Uygulamalarına Bağlamak Üretkenliği ve Arka Kapı Saldırısı Olasılığını Artırıyor

    Çalışanlar yapay zeka araçlarıyla önemli süreç iyileştirmeleri ve çıktılar elde eder (veya algılar) Örneğin, bağımsız yapay zeka araçları, hızlı enjeksiyona ve SSRF, IDOR ve XSS gibi geleneksel güvenlik açıklarına karşı daha duyarlı olabilir Bu süreç, güvenlik duruşlarını ve veri gizliliği yasalarına uyumlarını içermelidir

    Bağımsız Yapay Zeka Aracı Güvenlik Riskleri Pratik Olarak Nasıl Azaltılır

    Bağımsız yapay zekanın risklerini araştıran Thacker, CISO’lara ve siber güvenlik ekiplerine kuruluşlarını yapay zeka araçlarına hazırlamak için temel ilkelere odaklanmalarını öneriyor:

    1 Ekibinizden birinin veya Hukuk departmanından bir üyenin, çalışanların talep ettiği tüm yapay zeka araçlarına ilişkin hizmet şartlarını okuduğundan emin olun Önde gelen saldırı güvenliği mühendisi ve yapay zeka araştırmacısına göre Joseph ThackerBağımsız AI uygulama geliştiricileri daha az güvenlik personeli çalıştırıyor ve güvenlik odaklı çalışıyor, daha az yasal gözetim ve daha az uyumluluk sağlıyor


    Hırslı Çalışanlar Yeni Yapay Zeka Araçlarını Tanıtıyor, Ciddi SaaS Güvenlik Risklerini Göz Ardı Ediyor

    Gibi SaaS gölge BT Geçmişte yapay zeka, CISO’ları ve siber güvenlik ekiplerini zor ama tanıdık bir noktaya yerleştiriyor

    Yeni çalışmaların gösterdiği gibi Bazı çalışanlar üretken yapay zekayı kullanarak üretkenliği %40 artırıyorCISO’lar ve ekipleri üzerinde yapay zekanın benimsenmesini hızlandırma ve onaylanmamış yapay zeka araçları kullanımını görmezden gelme baskısı yoğunlaşıyor İlişkiler Kurun ve Ekibinizi (ve Politikalarınızı) Erişilebilir Hale Getirin

    CISO’lar, güvenlik ekipleri ve diğer yapay zeka ve SaaS güvenliği koruyucuları, yapay zekayı iş liderlerine ve ekiplerine yönlendirme konusunda kendilerini ortak olarak sunmalıdır

    Çalışanlar gizlice yapay zeka kullanıyor yerleşik BT ve siber güvenlik inceleme prosedürlerini pek dikkate almıyoruz

    Şimdi sahip ol Bağımsız Yapay Zeka Startup’ları Tipik Olarak Kurumsal Yapay Zekanın Güvenlik Hassasiyetinden Yoksundur

    Bağımsız AI uygulamalarının sayısı artık onbinlere ulaştı ve ücretsiz modelleriyle çalışanları başarılı bir şekilde cezbediyorlar ürün odaklı büyüme pazarlama stratejisi Ancak iyi niyetli çalışanlar, kuruluşunuzun son derece hassas verilerine ikinci sınıf bir yapay zeka uygulaması bağlamış olabileceklerinin farkında değiller ilkeleri CISO’lar güvenliği nasıl bir iş önceliği haline getiriyor? Güçlü ilişkilere, iletişime ve erişilebilir kurallara bölün Standart Durum Tespiti İhmal Etmeyin

    Bir nedenden dolayı temel bilgilerle başlıyoruz

    Ancak bu baskılara boyun eğmek, özellikle çalışanların küçük işletmeler, solo girişimciler ve bağımsız geliştiriciler tarafından geliştirilen yapay zeka araçlarına akın etmesi nedeniyle ciddi SaaS veri sızıntısı ve ihlal risklerini beraberinde getirebilir Aracı talep eden ekip ile satıcının kendisi arasında aşağıdaki gibi soruları ele alın:

    • Yapay zeka aracına kim erişecek? Belirli kişi veya ekiplerle mi sınırlı? Yükleniciler, ortaklar ve/veya müşteriler erişime sahip olacak mı?
    • Araca gönderilen istemlere hangi kişiler ve şirketler erişebilir? Yapay zeka özelliği üçüncü bir tarafa mı, bir model sağlayıcıya mı yoksa yerel bir modele mi dayanıyor?
    • Yapay zeka aracı harici girdi tüketiyor mu veya herhangi bir şekilde kullanıyor mu? Bunlara anında enjeksiyon yükleri eklenirse ne olur? Bunun nasıl bir etkisi olabilir?
    • Araç, dosyalarda, kullanıcılarda veya diğer nesnelerde değişiklik yapmak gibi sonuç niteliğindeki eylemleri gerçekleştirebiliyor mu?
    • Yapay zeka aracının geleneksel güvenlik açıklarının ortaya çıkma potansiyeline sahip herhangi bir özelliği var mı (yukarıda bahsedilen SSRF, IDOR ve XSS gibi)? Örneğin, istem veya çıktı XSS’nin mümkün olabileceği bir yerde mi işleniyor? Web getirme işlevi dahili ana bilgisayarlara veya bulut meta veri IP’sine ulaşmaya izin veriyor mu?

    Bir SaaS güvenlik satıcısı olan AppOmni, bir Yapay Zeka Güvenliğine ilişkin CISO Kılavuzları serisi Yapay zeka araçlarının sunduğu fırsatlar ve tehditlere ilişkin içgörülerin yanı sıra daha ayrıntılı satıcı değerlendirme soruları sağlayan Basit bir “izin verilenler listesi”, kurumsal SaaS sağlayıcıları tarafından oluşturulan yapay zeka araçlarını kapsayabilir ve dahil edilmeyen her şey “izin verilmeyenler” kampına girer

    İster başvuru ister veri izin listeleri veya her ikisinin bir kombinasyonunu tercih edin, bu yönergelerin açıkça yazıldığından ve kolayca erişilebildiğinden (ve tanıtıldığından) emin olun Büyük çoğunluk, onaylanmamış yapay zeka kullandıklarında şirketinizi maruz bıraktıkları tehlikenin farkında değil

    5 Alternatif olarak, çalışanların yapay zeka araçlarına ne tür veri aktarabileceğini belirleyen bir veri politikası oluşturabilirsiniz

    Thacker, bağımsız yapay zeka aracı risklerini aşağıdaki kategorilere ayırıyor:

    • Veri sızıntısı: Yapay zeka araçları, özellikle büyük dil modellerini kullanan üretken yapay zeka (Yüksek Lisans’lar), çalışanların girdiği istemlere geniş erişime sahiptir

      3 Ne yazık ki, bunun gibi şüpheli faaliyetler genellikle haftalarca, hatta yıllarca gözden kaçar Liderler veya çalışanlar sınırların dışına çıkan yapay zeka araçları talep ederse, konuşmaya onların neyi başarmaya çalıştıkları ve hedefleriyle başlayın Doğal riskleri değil, olası faydaları görüyorlar





      siber-2

      SOX, ISO 27001, NIST CSF, NIST 800-53 ve gibi daha sıkı SaaS veri düzenlemelerine sahip sektörlerdeki veya coğrafyalardaki işverenler APRA CPS 234 Çalışanlar bu standartlara uymayan araçları kullandıklarında kendilerini bu standartları ihlal ederken bulabilirler Uygulama ve Veri Politikalarını Uygulamayı (Veya Revize Etmeyi) Düşünün

      Bir uygulama politikası kuruluşunuza net yönergeler ve şeffaflık sağlar Bu gelişmiş iletişim kritik öneme sahiptir, ancak bu yalnızca bir adımdır Örneğin, yapay zeka programlarına herhangi bir türdeki fikri mülkiyetin girilmesini veya SaaS sistemleriniz ile yapay zeka uygulamalarınız arasında veri paylaşımını yasaklayabilirsiniz

      Yapay Zeka Güvenlik Kılavuzu

      AppOmni’nin Yapay Zeka Güvenliğine İlişkin CISO Kılavuzunu İndirin – Bölüm 1

      Yapay zeka, özellikle CISO’lar arasında ilham, kafa karışıklığı ve şüphe uyandırıyor Düşünen ChatGPT’nin lansmanından sonraki 60 gün içinde 100 milyon kullanıcıya çok hızlı yükselişiÖzellikle satış ve pazarlamanın az olmasıyla birlikte çalışanların AI araçlarına olan talebi daha da artacak

      4 Tehdit aktörleri, şirketin en önemli değerlerini içeren bağlantılı SaaS sistemlerine erişim aracı olarak bağımsız yapay zeka araçlarını hedef alıyor Ayrıca birçok bağımsız yapay zeka tedarikçisi SOC 2 uyumluluğunu sağlayamadı Çoğu bağımsız yapay zeka aracı gevşek güvenlik standartlarını takip ettiğinden bu, ciddi bir güvenlik riski anlamına gelir Örneğin, veri sızdırılması ile kamuya duyurulması arasında yaklaşık iki hafta geçti Eğitimler ayrıca politikalarınızı ve yazılım inceleme sürecinizi açıklamak ve güçlendirmek için uygun anlar olarak da hizmet eder Ancak yapay zeka planlama asistanının, analiz etmek üzere tasarladığı verileri elde etmek için Slack, kurumsal Gmail ve Google Drive gibi araçlara bağlanması gerekiyor Ancak yapay zeka satıcılarının hizmet şartlarını ihlal etmesi durumunda şartları iyice anlamak yasal stratejinizi belirleyecektir ChatGPT sohbet geçmişleri bile sızdırıldıve çoğu bağımsız yapay zeka aracı, OpenAI’nin (ChatGPT’nin ana şirketi) uyguladığı güvenlik standartlarıyla çalışmıyor Onların bakış açısı ve ihtiyaçları ile ilgilendiğinizi gördüklerinde, bağımsız bir yapay zeka tedarikçisine dalmak yerine, uygun bir yapay zeka aracı konusunda sizinle ortak olmaya daha istekli olurlar

      Çalışanlar her gün yapay zekadan SaaS’a bu tür bağlantıları pek endişe duymadan yapıyor

    Kısacası, bağımsız yapay zeka satıcıları genellikle kritik SaaS verilerini ve sistemlerini güvende tutan çerçevelere ve protokollere bağlı kalmıyor

    Tehdit aktörü, kuruluşunuzun SaaS varlığına açılan bu arka kapıdan yararlandıktan sonra, faaliyetleri fark edilene kadar verilere erişebilir ve verileri sızdırabilir

    Bağımsız yapay zeka araçları, geleneksel pazarlama ve satış taktiklerinden çok kulaktan kulağa yayılmaya bağlı olduğundan, bağımsız yapay zeka satıcıları, ürünler içindeki bu bağlantıları teşvik eder ve süreci nispeten kusursuz hale getirir Düzenli Çalışan Eğitimi ve Öğretimini Taahhüt Edin

    Çok az çalışan kötü niyetli bağımsız yapay zeka araçları arıyor Ocak 2023 CircleCI veri ihlali

  • İçerik kalitesi sorunları: LLM’lerin halüsinasyonlardan şüpheleniliyorIBM bunu, LLMS’nin “var olmayan veya insan gözlemciler tarafından algılanamayan kalıpları veya nesneleri algılayarak anlamsız veya tamamen yanlış çıktılar yaratması” olgusu olarak tanımlıyor

    Şekil 1: Bağımsız bir yapay zeka aracı, büyük bir SaaS platformuyla OAuth belirteci bağlantısını nasıl sağlıyor? Kredi bilgileri: AppOmni

    Tüm SaaS’tan SaaS’a bağlantılar gibi AI’dan SaaS’a bağlantılar da kullanıcının izin ayarlarını devralır