Hacking AI - Comprendere i rischi informatici nelle applicazioni guidate dall'AI
WEBINAR SU RICHIESTA | CYBERSECURITY
Con l'integrazione dell'IA nelle operazioni critiche, è essenziale capire come gli attori delle minacce possano sfruttare questi sistemi. Se è coinvolto nelle operazioni di AI, nello sviluppo o nella cybersecurity, questa sessione fornirà informazioni preziose.
Con l'ascesa dell'AI, le organizzazioni devono affrontare nuove vulnerabilità che differiscono dalle minacce informatiche tradizionali. Dalla fuga di dati all'accesso non autorizzato, l'IA può aprire percorsi che sono unicamente suscettibili di sfruttamento.
In questa sessione, Ralph Moonen, Direttore Tecnico di Bureau Veritas Cybersecurity, esplorerà i potenziali vettori di attacco nei sistemi di IA e discuterà le mitigazioni pratiche per salvaguardare le sue applicazioni. Scoprirà i rischi reali associati alle tecnologie basate sull'AI e otterrà passi concreti per proteggere la sua organizzazione.
Punti chiave di questo webinar
Ecco i punti chiave del webinar:
1. L'AI come rischio di Cybersecurity: minacce e vulnerabilità chiave
- I modelli di AI possono perdere dati riservati se addestrati su set di dati contenenti informazioni sensibili (ad esempio, password o dati personali).
- Laprompt injection è una tecnica di attacco comune in cui i sistemi di AI vengono manipolati per mostrare un comportamento indesiderato, come rivelare dati sensibili o eseguire azioni dannose.
- Gli attori delle minacce utilizzano sempre più spesso l'AI per gli attacchi, come la generazione di deepfakes e la conduzione di campagne di social engineering.
2. Regolamenti e standard sull'AI
- L'AI Act (il mondo) classifica i sistemi di IA in categorie di rischio, come "sistemi vietati" e "sistemi ad alto rischio", che richiedono una regolamentazione rigorosa.
- Lo standard ISO 42001, di prossima pubblicazione, fornisce un quadro per la gestione dell'IA, che include la valutazione del rischio, l'uso etico e la garanzia di qualità.
- Differenze regionali: il mondo e la Cina si concentrano su normative più severe, mentre gli Stati Uniti si orientano verso linee guida e innovazione.
3. Migliori prassi per la sicurezza dell'IA
- Le organizzazioni devono implementare una politica di utilizzo dell'AI e formare gli utenti a riconoscere le minacce legate all'AI, come i deepfakes e i contenuti generati dall'AI.
- Optano per soluzioni di IA on-premise, ove possibile, in quanto l'IA basata sul cloud presenta rischi di perdita di dati e un controllo di sicurezza ridotto.
- Convalidare i risultati dell'AI e utilizzare risorse come la LLM OWASP Top 10, che fornisce approfondimenti sulle principali minacce e linee guida di sicurezza per i modelli di AI.
Destinatari
Questo webinar è rivolto ai professionisti coinvolti nello sviluppo, nell'implementazione e nella sicurezza dei sistemi AI, in particolare a coloro che sono interessati a comprendere i rischi unici di cybersecurity delle applicazioni guidate dall'AI. I partecipanti principali includono:
- Operatori AI che supervisionano le implementazioni AI nelle loro organizzazioni
- Sviluppatori e responsabili IT responsabili dell'implementazione di soluzioni AI
- Pentester focalizzati sull'identificazione delle vulnerabilità nelle tecnologie emergenti.
- Professionisti della sicurezza interessati a mitigare le minacce informatiche specifiche dell'AI.
Guardi il replay di questo webinar oggi stesso:
Domande e risposte dal Webinar.
1. Esistono casi noti di fughe di dati legate all'AI?
Risposta: Sì, ci sono stati casi documentati di fughe di dati legate all'AI. Ad esempio, Prompt Security elenca 8 esempi reali di fughe di dati legate all'AI.
2. Esistono strumenti per "umanizzare" l'output dell'AI?
Risposta: Sì, è possibile umanizzare l'output dell'IA istruendo l'IA ad adottare caratteristiche specifiche. Inoltre, altri modelli di AI possono elaborare e perfezionare l'output per renderlo più naturale. Ad esempio, alcuni strumenti software utilizzano l'AI per aggiungere sfumature simili a quelle umane, come nella produzione musicale, dove l'umanizzazione migliora la naturalezza dell'output.
3. Come si addestrano gli utenti a riconoscere i deepfakes?
Risposta: La formazione degli utenti a riconoscere i deepfakes è impegnativa, in quanto la tecnologia diventa sempre più avanzata. Un approccio efficace consiste nell'utilizzare parole chiave o domande uniche che solo una persona reale potrebbe conoscere. Ad esempio, un attacco deepfake a un dirigente Ferrari è stato sventato ponendo domande a cui solo la persona reale poteva rispondere. Una maggiore vigilanza è fondamentale in questi scenari.
4. Ci sono rischi nel bloccare tutte le IA e consentire solo Microsoft Copilot?
Risposta: Bloccare completamente tutte le AI è molto difficile a causa dell'ampia gamma di versioni e metodi di accesso disponibili. La creazione di politiche utente e di linee guida di utilizzo è un approccio più pratico rispetto al tentativo di bloccare tutte le AI.
5. Che cosa serve alle IA per diventare senzienti?
Risposta: Questa è una domanda complessa. Le IA possono superare il test di Turing, ma questo non implica la coscienza. La vera senzienza richiederebbe un'architettura molto più avanzata, ma il percorso esatto per raggiungere la senzienza rimane poco chiaro.
6. In che modo Secura utilizza l'AI per migliorare la produttività?
Risposta: Un esempio è quello di un pen tester che ha utilizzato l'AI per generare rapidamente script PowerShell per l'escalation dei privilegi durante un test interno. L'AI può essere particolarmente utile per automatizzare compiti ripetitivi come lo scripting.
7. Quali sono i rischi dell'utilizzo di Microsoft Copilot nello sviluppo del software?
Risposta: Un rischio è che gli input, come le chiavi API nel codice sorgente, possano essere involontariamente utilizzati per addestrare il modello AI, rendendo tali chiavi accessibili ad altri utenti. Un altro rischio deriva dall'addestramento dei modelli su esempi di codice provenienti da piattaforme come StackOverflow, che possono includere vulnerabilità, portando a codice insicuro generato dall'AI. Disabilitare l'opzione di addestramento del modello sull'input dell'utente può mitigare questo rischio.
INFORMAZIONI SUL RELATORE
Ralph Moonen
Ralph Moonen è Technisch Directeur presso il Bureau Veritas Cybersecurity e vanta più di 20 anni di esperienza nel settore dell'information informationbeveiliging. Ha collaborato con molti clienti, tra cui le aziende Fortune 500, le imprese, gli istituti finanziari e le organizzazioni internazionali. Inoltre, Ralph è docente nel programma di post-dottorato IT-audit presso l'Università di Tilburg.
Nel suo ruolo, Ralph ha un'intensa attività di ricerca sulle applicazioni di cybersecurity dell'intelligenza artificiale (AI). Ha pubblicato articoli sull'uso velato dell'IA, che comporta rischi maggiori come l'uso dei dati e la manipolazione dei sistemi. Il suo lavoro è incentrato sull'importanza della prevenzione e della mitigazione degli unici problemi di sicurezza che le tecnologie AI comportano.
CONTATTATECI PER MAGGIORI INFORMAZIONI
Desidera saperne di più su come possiamo aiutarla a proteggere le sue applicazioni AI? Compili il modulo e la contatteremo entro un giorno lavorativo.
Perché scegliere Bureau Veritas Cybersecurity?
Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.
Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.