ReadWrite
paint-brush
Ang Generative Al's Double-Edged Sword: Pag-unlock ng Potensyal Habang Pinapababa ang Mga Panganibsa pamamagitan ng@mend

Ang Generative Al's Double-Edged Sword: Pag-unlock ng Potensyal Habang Pinapababa ang Mga Panganib

sa pamamagitan ng Mend.io6m2025/02/05
Read on Terminal Reader
tldt arrow
en-flagENes-flagESja-flagJAts-flagTSfi-flagFIid-flagIDti-flagTIsw-flagSWay-flagAYca-flagCAtl-flagTLrw-flagRWhu-flagHU
TL

Masyadong mahaba; Upang basahin

Mabilis na binago ng AI ang software development, na may 75% ng mga developer na gumagamit ng AI coding tool tulad ng ChatGPT at GitHub Copilot. Habang pinapataas ng AI ang kahusayan ng developer, ipinakikilala rin nito ang mga bagong panganib sa seguridad, kabilang ang "Shadow AI" – hindi pinamamahalaang paggamit ng AI sa loob ng mga organisasyon. Maaari itong humantong sa hindi nakokontrol na mga kahinaan, mga pagtagas ng data, at mga paglabag sa pagsunod. Gayunpaman, nag-aalok din ang AI ng mga solusyon, mula sa pagtuklas ng shadow AI hanggang sa pagpapagana ng semantic code analysis at AI red teaming. Kabilang sa mga epektibong diskarte ang pagpapatupad ng mga guardrail, hardening code, at pag-secure ng mga API. Ang susi ay ang pagbabalanse ng potensyal ng AI sa mga proactive na hakbang sa seguridad upang i-navigate ang umuusbong na landscape na ito.
featured image - Ang Generative Al's Double-Edged Sword: Pag-unlock ng Potensyal Habang Pinapababa ang Mga Panganib
Mend.io HackerNoon profile picture
0-item


Tumagal ng wala pang isang taon para mabago ng AI ang landscape ng seguridad. Nagsimulang maging mainstream ang Generative AI noong Pebrero 2024. Ang unang ilang buwan ay ginugol sa pagkamangha. Ang magagawa nito at ang mga kahusayan na maidudulot nito ay hindi pa naririnig. Ayon kay a 2024 Stack Overflow Developer Survey , humigit-kumulang 75% ng mga developer ang kasalukuyang gumagamit o nagpaplanong gumamit ng mga tool sa AI coding.


Kabilang sa mga tool na ito, ang ChatGPT ng OpenAI ay partikular na sikat, na may 82% ng mga developer ang nag-uulat ng regular na paggamit , kasama ang GitHub Copilot na sumusunod, na ginagamit ng 44% ng mga developer. Sa mga tuntunin ng pagsulat ng code, 82% ng mga developer ang gumagamit ng AI at 68% ay gumagamit ng AI habang naghahanap ng mga sagot. Kapag ipinares mo ang isang developer na nauunawaan kung paano maayos na magsulat ng code gamit ang generative AI, karaniwan ang mga kahusayan na lampas sa 50% o mas mahusay.


Laganap ang pag-ampon, ngunit may mga alalahanin tungkol sa katumpakan at seguridad ng code na binuo ng AI. Para sa isang batikang developer o application security practitioner, hindi magtatagal upang makitang may mga problema ang code na ginawa gamit ang Generative AI. Sa ilang mabilis na prompt, mabilis na lumalabas ang mga bug at isyu.


Ngunit ang mga developer na nasasabik tungkol sa AI ay nagpapakilala ng higit sa mga makalumang bug ng seguridad sa code. Lalo rin nilang dinadala ang mga modelo ng AI sa mga produkto na kanilang binuo–kadalasan nang walang kamalayan ng seguridad, lalo pa ang pahintulot—na nagdudulot ng maraming isyu sa pag-aaway. Sa kabutihang palad, mahusay din ang AI sa pakikipaglaban sa mga isyung ito kapag nakaturo ito sa tamang direksyon.


Ang artikulong ito ay titingnan kung paano:

  • Makakatulong ang AI sa mga organisasyon na matuklasan ang lahat ng teknolohiyang AI na mayroon sila at ginagamit nila, kahit na ang anino ng AI na hindi alam ng mga security team.
  • Binibigyang-daan ng AI ang pagkuha ng semantic data point mula sa code, isang rebolusyonaryong pag-unlad sa seguridad ng aplikasyon.
  • Maaaring ilantad ng AI-powered red teaming ang mga kahinaan sa mga LLM at application
  • Makakatulong ang AI sa paglikha ng mga guardrail at mga diskarte sa pagpapagaan upang maprotektahan laban sa mga kahinaan na nauugnay sa AI.
  • Makakatulong ang AI sa mga developer na maunawaan at ma-secure ang mga API na ginagamit nila sa kanilang mga application.


Shadow AI: Ang Invisible Threat Lurking sa iyong Codebase

Isipin ang isang senaryo kung saan ang mga developer, na hinihimok ng pangangailangan na makipagsabayan sa kanilang mga kapantay o nasasabik lang sa kung ano ang inaalok ng AI, ay nagsasama ng mga modelo at tool ng AI sa mga application nang hindi nalalaman ng security team. Ganito nangyayari ang Shadow AI.


Ang aming mga obserbasyon sa Mend.io ay nagsiwalat ng isang nakakagulat na trend: ang ratio sa pagitan ng kung ano ang nalalaman ng mga security team at kung ano ang aktwal na ginagamit ng mga developer sa mga tuntunin ng AI ay isang salik na 10. Nangangahulugan ito na para sa bawat proyekto ng AI sa ilalim ng securities purview, 10 pa ang tumatakbo sa anino, na lumilikha ng malaking panganib sa seguridad ng organisasyon.


Bakit napakababahala ng Shadow AI?

  • Mga Hindi Nakontrol na Mga Kahinaan : Ang mga hindi sinusubaybayang modelo ng AI ay maaaring magkaroon ng mga kilalang kahinaan, na ginagawang mahina o madaling kapitan ng mga pag-atake ang iyong application.

  • Pag-leakage ng Data : Maaaring hindi sinasadyang ilantad ng AI ang sensitibong data, na humahantong sa mga paglabag sa privacy at mga multa sa regulasyon.

  • Mga Paglabag sa Pagsunod : Ang paggamit ng mga hindi naaprubahang modelo ng AI ay maaaring lumabag sa mga regulasyon ng industriya at mga pamantayan sa seguridad ng data.


Sa kabutihang palad, ang AI mismo ay nag-aalok ng solusyon sa hamong ito. Maaaring i-scan ng advanced na AI-driven na mga tool sa seguridad ang iyong buong codebase, na tinutukoy ang lahat ng AI na teknolohiyang ginagamit, kabilang ang mga nakatago sa view. Ang komprehensibong imbentaryo ay magbibigay-daan sa mga security team na magkaroon ng visibility sa shadow AI, tumulong sa pagtatasa ng mga panganib, at magpatupad ng mga kinakailangang diskarte sa pagpapagaan.


Semantic Security: Isang Bagong Panahon sa Pagsusuri ng Code

Ang mga tradisyunal na tool sa seguridad ng application ay umaasa sa pangunahing data at pagsusuri sa daloy ng kontrol, na nagbibigay ng limitadong pag-unawa sa functionality ng code. Ang AI, gayunpaman, ay may kakayahang isama ang pag-unawa sa semantiko at, bilang isang resulta, ay nagbibigay ng mas mahusay na mga natuklasan.


Ang mga tool sa seguridad na naka-enable sa AI ay maaari na ngayong kumuha ng mga semantic data point mula sa code, na nagbibigay ng mas malalim na insight sa tunay na layunin at gawi ng mga modelo ng AI. Nagbibigay-daan ito sa mga security team na:


  • Tukuyin ang mga kumplikadong kahinaan: Tumuklas ng mga kahinaan na kung hindi man ay hindi mapapansin ng mga tradisyunal na tool sa seguridad
  • Unawain ang gawi ng modelo ng AI: Magkaroon ng malinaw na pag-unawa sa kung paano nakikipag-ugnayan ang mga modelo ng AI sa data at iba pang mga system, lalo na sa mga ahenteng AI o RAG na modelo.
  • I-automate ang pagsubok sa seguridad: Bumuo ng mas sopistikado at naka-target na mga pagsubok sa seguridad batay sa pag-unawa sa semantiko, at magagawang mabilis na magsulat at mag-update ng mga script ng automation ng QA pati na rin ang pagsubok sa panloob na unit.


Adversarial AI: The Rise of AI Red Teaming

Katulad ng ibang sistema, ang mga modelo ng AI ay mahina din sa mga pag-atake. Ginagamit ng AI red teaming ang kapangyarihan ng AI para gayahin ang mga adversarial na pag-atake, na naglalantad ng mga kahinaan sa mga AI system at ang mga pagpapatupad ng mga ito. Kasama sa diskarteng ito ang paggamit ng mga adversarial prompt, mga espesyal na ginawang input na idinisenyo upang pagsamantalahan ang mga kahinaan at manipulahin ang pag-uugali ng AI. Ang bilis kung saan ito magagawa ay ginagawang halos tiyak na ang AI ay gagamitin nang husto sa malapit na hinaharap.


Ang AI Red Teaming ay hindi titigil doon. Gamit ang mga tool ng AI Red Teaming, maaaring harapin ng mga application ang mga brutal na pag-atake na idinisenyo upang matukoy ang mga kahinaan at alisin ang mga system. Ang ilan sa mga tool na ito ay katulad ng kung paano gumagana ang DAST, ngunit sa mas mahirap na antas.


Mga Pangunahing Takeaway:

● Proactive Threat Modeling: Asahan ang mga potensyal na pag-atake sa pamamagitan ng pag-unawa kung paano maaaring manipulahin ang mga modelo ng AI at kung paano sila maisasaayos sa pag-atake sa anumang kapaligiran o iba pang modelo ng AI.

● Matatag na Pagsubok sa Seguridad: Ipatupad ang mga diskarte sa pagtutulungan ng AI para maagap na matukoy at mabawasan ang mga kahinaan.

● Pakikipagtulungan sa mga AI Developer: Makipagtulungan nang malapit sa mga development team para matiyak ang parehong secure na AI development at secure na mga kasanayan sa coding.


Mga Guardrail: Humuhubog sa Secure AI na Gawi

Nag-aalok ang AI ng maraming halaga na hindi maaaring balewalain. Ang mga generative na kakayahan nito ay patuloy na humahanga sa mga taong gumagawa nito. Tanungin ito kung ano ang gusto mo at magbabalik ito ng isang sagot na hindi palaging ngunit kadalasan ay napakatumpak. Dahil dito, kritikal na bumuo ng mga guardrail na nagsisiguro ng responsable at secure na paggamit ng AI.

Ang mga guardrail na ito ay maaaring magkaroon ng iba't ibang anyo, kabilang ang:

  • Hardened Code : Pagpapatupad ng pinakamahuhusay na kagawian sa seguridad sa code upang maiwasan ang mga kahinaan tulad ng agarang pag-iniksyon.
  • System Prompt Modification : Maingat na paggawa ng mga prompt ng system upang limitahan ang mga kakayahan ng modelo ng AI at maiwasan ang mga hindi sinasadyang pagkilos.
  • Mga Sanitizer at Guards : Pagsasama ng mga mekanismo ng seguridad na nagpapatunay ng mga input, nagsasala ng mga output, at pumipigil sa hindi awtorisadong pag-access.


Ang pangunahing pagsasaalang-alang sa pagpapatupad ng mga guardrail ay ang trade-off sa pagitan ng seguridad at flexibility ng developer. Bagama't ang mga sentralisadong pamamaraang tulad ng firewall ay nag-aalok ng kadalian sa pag-deploy, ang mga guardrail na partikular sa application na iniakma ng mga developer ay makakapagbigay ng mas granular at epektibong proteksyon.


Ang API Security Imperative sa AI Era

Ang mga AI application ay lubos na umaasa sa mga API upang makipag-ugnayan sa mga panlabas na serbisyo at data source. Ang interconnectivity na ito ay nagpapakilala ng mga potensyal na panganib sa seguridad na dapat matugunan ng mga organisasyon nang maagap.


Mga Pangunahing Alalahanin sa Seguridad ng API sa Mga Aplikasyon ng AI:

  • Pag-leakage ng Data sa pamamagitan ng Mga API: Maaaring samantalahin ng mga nakakahamak na aktor ang mga kahinaan sa API para magnakaw ng sensitibong data na naproseso ng mga modelo ng AI.
  • Mga Nakompromisong API Key: Ang mga hindi secure na API key ay maaaring magbigay ng hindi awtorisadong pag-access sa mga AI system at data.
  • Mga Panganib sa Third-Party API: Ang pag-asa sa mga third-party na API ay maaaring maglantad sa mga organisasyon sa mga kahinaan sa mga serbisyong iyon.


Pinakamahuhusay na Kasanayan para sa Pag-secure ng mga API sa AI Applications:

  • Masusing Imbentaryo ng API: Tukuyin ang lahat ng API na ginagamit sa iyong mga AI application at suriin ang kanilang postura sa seguridad.
  • Secure na API Authentication at Authorization: Ipatupad ang malakas na authentication at mga mekanismo ng awtorisasyon para paghigpitan ang API access. Tiyaking ipinapatupad mo ang modelong "Least Common Privilege."
  • Regular na Pagsusuri sa Seguridad ng API: Magsagawa ng mga regular na pagsusuri sa seguridad upang matukoy at mabawasan ang mga kahinaan sa API.


Konklusyon

Ang AI revolution ay hindi isang posibilidad sa hinaharap, narito na ito! Sa pamamagitan ng pagsusuri sa mga insight sa seguridad ng AI na tinalakay sa post na ito, maaaring i-navigate ng mga organisasyon ang pagbabagong panahon na ito at gamitin ang kapangyarihan ng AI habang pinapaliit ang mga panganib. Saglit lang naging mainstream ang AI, isipin kung ano ang magiging hitsura nito sa isang taon. Maliwanag ang kinabukasan ng AI kaya maging handa na gamitin ito at tiyaking ligtas din ito. ** Para sa higit pang mga detalye sa AI at AppSec - Panoorin ang aming webinar **at tuklasin ang mga kritikal na tanong na nakapalibot sa AI-driven na AppSec at tuklasin kung paano i-secure ang iyong code sa bagong panahon na ito! Binabago ng AI ang pagbuo ng software, ngunit nagpapatuloy ba ang iyong diskarte sa seguridad?

-Isinulat ni Jeffrey Martin, VP ng Product Marketing sa Mend.io


Notion
L O A D I N G
. . . comments & more!

About Author

Mend.io HackerNoon profile picture
Mend.io@mend
Mend gives all the tools you need to build a mature, proactive AppSec program that effectively manages application risk.
Read my stories

HANG TAGS

purcat-imgcybersecurity #application-security #shadow-ai #vulnerabilities #artificial-intelligence #cybersecurity #risk-management #mend #good-company

ANG ARTIKULONG ITO AY IPINAKITA SA...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

MGA KAUGNAY NA KWENTO

Article Thumbnail
How I deployed my spark document classification(Logistic Regression) model/s as a standalone app…
by surendrabobba
Jan 01, 1970
#data-science
Article Thumbnail
COVID-19: We Need More Than Data, We Need Insights!
by federico
Jan 01, 1970
#data-science
Article Thumbnail
Getting intimate with Ethereum tokens
by whoisjuliosantos
Jan 01, 1970
#blockchain
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas