شکاف افشای هوش مصنوعی؛ تهدیدی بزرگ برای کسب و کارها!

تحقیقات شرکت Tenable از وجود یک «شکاف افشای هوش مصنوعی» خبر می‌دهد؛ وضعیتی که در آن سازمان‌ها سریع‌تر از آن‌که بتوانند امنیت را تطبیق دهند، مدل‌ها و بارهای کاری هوش مصنوعی را اجرا می‌کنند. نتیجه؟ راه برای نفوذ باز می‌ماند و اغلب عامل حملات همان اشتباهات آشنای امنیتی است، نه تهاجم‌های پیچیده مدل‌ها.

طبق یافته‌ها، حدود ۸۹٪ سازمان‌ها اکنون بارهای کاری هوش مصنوعی را اجرا یا آزمایش می‌کنند و آمارها نشان می‌دهد که یک سوم (۳۴٪) از پذیرندگان AI حداقل یک رخنه مرتبط با هوش مصنوعی را تجربه کرده‌اند. اما آن‌چه جالب است این است که اغلب این رخنه‌ها حاصل ضعف در شیوه‌های امنیتی شرکت‌ها بوده، نه حمله مستقیم به «مدل».

به جای حملات علمی-تخیلی به مدل‌ها، استفاده از آسیب‌پذیری‌های نرم‌افزاری (۲۱٪)، تهدیدات داخلی (۱۸٪) و حتی نواقص مدل (۱۹٪) عاملان اصلی رخنه‌ها بوده‌اند. فقط ۲۲٪ از سازمان‌ها اعلام کرده‌اند که داده‌های مرتبط با AI را به‌طور کامل طبقه‌بندی و رمزگذاری می‌کنند؛ یعنی بیش از سه‌چهارم داده‌ها در صورت نفوذ قابل‌دسترس می‌مانند.

علت واقعی: امنیت عقب می‌ماند، نه فناوری

به قول لیات هایون، معاون تحقیق و محصول Tenable: «خطرات واقعی از درزهای آشنا می‌آیند — هویت، پیکربندی‌های نادرست، آسیب‌پذیری‌ها — نه سناریوهای علمی‌تخیلی.» وقتی شرکت‌ها سرعت توسعه و استقرار هوش مصنوعی را از توانایی‌شان در ایمن‌سازی بیشتر می‌کنند، دید کامل از سیستم‌ها پراکنده می‌شود و دفاع‌ها واکنشی می‌شوند نه پیشگیرانه.

Tenable توصیه می‌کند به‌جای تمرکز صرف روی چارچوب‌ها یا رسیدن به حداقل‌های قانونی، باید کنترل‌های بنیادین را تقویت کرد. بسیاری از شرکت‌ها (حدود ۵۱٪) از چارچوب‌هایی مثل NIST AI Risk یا قوانین اتحادیه اروپا استفاده می‌کنند که ممکن است فقط حداقل‌های لازم را پوشش دهند.

• حاکمیت هویت: مدیریت هویت و دسترسی باید اولویت اول باشد؛ کنترل دقیق دسترسی‌ها مانع نفوذ گسترده می‌شود.
• نظارت بر پیکربندی‌ها: پیکربندی‌های نادرست یکی از ورودی‌های اصلی رخنه‌هاست؛ مانیتورینگ پیوسته لازم است.
• سخت‌سازی بارهای کاری: محافظت از محیط اجرا، به‌ویژه کانتینرها و سرویس‌های ابری، برای کاهش برد حمله حیاتی است.
• آزمون‌های اختصاصی AI: تنها ۲۶٪ سازمان‌ها اقدام به تست‌های امنیتی ویژه AI مثل رِد-تیمینگ می‌کنند—که باید افزایش یابد.

در نهایت، رعایت قوانین و چارچوب‌ها باید نقطه شروع باشد، نه هدف نهایی. امنیت هوش مصنوعی یعنی برگشتن به اصول پایه‌ای امنیت سایبری و اعمال آن‌ها روی اکوسیستم جدید مدل‌ها و داده‌ها.