ஒரு முன்னணி AI நிறுவனம் வெளிப்படையாகக் கூறும்போது இது புத்துணர்ச்சி அளிக்கிறது. ஒரு விரிவான இடுகை உடனடி ஊசிக்கு எதிராக ChatGPT அட்லஸை கடினப்படுத்துவதில், பாதுகாப்பு பயிற்சியாளர்கள் பல ஆண்டுகளாக அறிந்ததை OpenAI ஒப்புக்கொண்டது: "வலையில் மோசடிகள் மற்றும் சமூகப் பொறியியல் போன்ற உடனடி ஊசி, முழுமையாக ‘தீர்க்கப்பட வாய்ப்பில்லை.’"
புதியது ஆபத்து அல்ல – இது சேர்க்கை. மிகவும் பரவலாகப் பயன்படுத்தப்படும் AI முகவர்களில் ஒன்றான OpenAI, முகவர் பயன்முறை “பாதுகாப்பு அச்சுறுத்தல் மேற்பரப்பை விரிவுபடுத்துகிறது” மற்றும் அதிநவீன பாதுகாப்புகள் கூட உறுதியான உத்தரவாதங்களை வழங்க முடியாது என்பதை பகிரங்கமாக உறுதிப்படுத்தியது. தயாரிப்பில் ஏற்கனவே AI இயங்கும் நிறுவனங்களுக்கு, இது ஒரு வெளிப்பாடு அல்ல. இது சரிபார்ப்பு – மற்றும் AI எவ்வாறு பயன்படுத்தப்படுகிறது மற்றும் அது எவ்வாறு பாதுகாக்கப்படுகிறது என்பதற்கு இடையே உள்ள இடைவெளி கோட்பாட்டு ரீதியாக இல்லை என்பதற்கான சமிக்ஞையாகும்.
இவை எதுவும் தயாரிப்பில் AI இயங்கும் யாரையும் ஆச்சரியப்படுத்தவில்லை. பாதுகாப்புத் தலைவர்களைப் பற்றிய கவலை என்னவென்றால், இந்த யதார்த்தத்திற்கும் நிறுவனத் தயார்நிலைக்கும் இடையே உள்ள இடைவெளி. VentureBeat 100 தொழில்நுட்ப முடிவெடுப்பவர்களிடம் நடத்திய ஆய்வில், 34.7% நிறுவனங்கள் அர்ப்பணிக்கப்பட்ட உடனடி ஊசி பாதுகாப்புகளை பயன்படுத்தியுள்ளதாக கண்டறியப்பட்டுள்ளது. மீதமுள்ள 65.3% பேர் இந்தக் கருவிகளை வாங்கவில்லை அல்லது அவர்கள் வைத்திருப்பதை உறுதிப்படுத்த முடியவில்லை.
அச்சுறுத்தல் இப்போது அதிகாரப்பூர்வமாக நிரந்தரமானது. பெரும்பாலான நிறுவனங்கள் இன்னும் அதைக் கண்டறிவதற்குத் தயாராக இல்லை, அதை நிறுத்துவது ஒருபுறம் இருக்கட்டும்.
OpenAI இன் LLM-அடிப்படையிலான தானியங்கு தாக்குபவர் சிவப்பு அணிகள் தவறவிட்ட இடைவெளிகளைக் கண்டறிந்தார்
OpenAI இன் தற்காப்பு கட்டமைப்பு ஆய்வுக்கு தகுதியானது, ஏனெனில் இது சாத்தியமானவற்றின் தற்போதைய உச்சவரம்பைக் குறிக்கிறது. பெரும்பாலான, அனைத்து இல்லையென்றாலும், வணிக நிறுவனங்களால் அதை நகலெடுக்க முடியாது, இது இந்த வாரம் அவர்கள் பகிர்ந்து கொண்ட முன்னேற்றங்கள், AI பயன்பாடுகள் மற்றும் இயங்குதளங்களைப் பாதுகாக்கும் பாதுகாப்புத் தலைவர்களுக்கு மிகவும் பொருத்தமானதாக ஆக்குகிறது.
நிறுவனம் ஒரு கட்டப்பட்டது "LLM-அடிப்படையிலான தானியங்கி தாக்குபவர்" உடனடி ஊசி பாதிப்புகளைக் கண்டறிய வலுவூட்டல் கற்றலுடன் இறுதி முதல் இறுதி வரை பயிற்சியளிக்கப்பட்டது. எளிய தோல்விகளை தோற்றுவிக்கும் பாரம்பரிய ரெட்-டீமிங்கைப் போலல்லாமல், OpenAI இன் அமைப்பால் முடியும் "பல்லாயிரக்கணக்கான (அல்லது நூற்றுக்கணக்கான) படிகளுக்கு மேல் வெளிப்படும் அதிநவீன, நீண்ட-அடிவான தீங்கு விளைவிக்கும் பணிப்பாய்வுகளை செயல்படுத்த ஒரு முகவரை வழிநடத்துங்கள்" குறிப்பிட்ட வெளியீட்டு சரங்களை வெளிப்படுத்துவதன் மூலம் அல்லது திட்டமிடப்படாத ஒற்றை-படி கருவி அழைப்புகளைத் தூண்டுவதன் மூலம்.
இது எவ்வாறு செயல்படுகிறது என்பது இங்கே. தானியங்கு தாக்குபவர் ஒரு வேட்பாளர் ஊசியை முன்மொழிந்து அதை வெளிப்புற சிமுலேட்டருக்கு அனுப்புகிறார். சிமுலேட்டர், இலக்கு வைக்கப்பட்ட பாதிக்கப்பட்ட முகவர் எப்படி நடந்துகொள்வார், ஒரு முழு பகுத்தறிவு மற்றும் செயல் தடயத்தைத் திருப்பித் தருகிறது, மேலும் தாக்குபவர் மீண்டும் கூறுகிறார். ஓபன்ஏஐ தாக்குதல் வடிவங்களைக் கண்டுபிடித்ததாகக் கூறுகிறது "எங்கள் மனித சிவப்பு குழு பிரச்சாரத்திலோ அல்லது வெளிப்புற அறிக்கைகளிலோ தோன்றவில்லை."
ஒரு தாக்குதல் அமைப்பு வெளிப்படுத்தப்பட்ட பங்குகளை நிரூபிக்கிறது. பயனரின் இன்பாக்ஸில் உள்ள ஒரு தீங்கிழைக்கும் மின்னஞ்சலில் மறைக்கப்பட்ட வழிமுறைகள் உள்ளன. அட்லஸ் ஏஜென்ட் அலுவலகத்திற்கு வெளியே பதில் வரைவதற்காக செய்திகளை ஸ்கேன் செய்தபோது, அதற்கு பதிலாக உட்செலுத்தப்பட்ட கட்டளையைப் பின்பற்றி, பயனரின் தலைமை நிர்வாக அதிகாரிக்கு ராஜினாமா கடிதத்தை எழுதினார். அலுவலகத்திற்கு வெளியே எழுதப்பட்டதில்லை. பயனரின் சார்பாக முகவர் ராஜினாமா செய்தார்.
ஷிப்பிங் மூலம் OpenAI பதிலளித்தது "புதிதாக எதிர்க்கும் வகையில் பயிற்சியளிக்கப்பட்ட மாதிரி மற்றும் பலப்படுத்தப்பட்ட சுற்றியுள்ள பாதுகாப்புகள்." நிறுவனத்தின் தற்காப்பு அடுக்கு இப்போது தானியங்கு தாக்குதல் கண்டுபிடிப்பு, புதிதாக கண்டுபிடிக்கப்பட்ட தாக்குதல்களுக்கு எதிரான எதிரி பயிற்சி மற்றும் மாடலுக்கு வெளியே உள்ள அமைப்பு-நிலை பாதுகாப்புகள் ஆகியவற்றை ஒருங்கிணைக்கிறது.
AI நிறுவனங்கள் தங்கள் சிவப்பு குழு முடிவுகளைப் பற்றி எப்படி சாய்ந்த மற்றும் பாதுகாக்கப்பட்டதாக இருக்கும் என்பதற்கு எதிராக, OpenAI வரம்புகளைப் பற்றி நேரடியாக இருந்தது: "உடனடி ஊசியின் தன்மை உறுதியான பாதுகாப்பு உத்தரவாதங்களை சவாலாக ஆக்குகிறது." வேறு வார்த்தைகளில் கூறுவதானால், இதன் பொருள் “இந்த உள்கட்டமைப்புடன் கூட, அவர்களால் பாதுகாப்பிற்கு உத்தரவாதம் அளிக்க முடியாது.”
நிறுவனங்கள் காப்பிலட்களில் இருந்து தன்னாட்சி முகவர்களுக்கு மாறும்போது இந்த சேர்க்கை கிடைக்கிறது – துல்லியமாக உடனடி ஊசி ஒரு கோட்பாட்டு அபாயமாக நின்று செயல்படும் ஒன்றாக மாறும் போது.
நிறுவனங்கள் பாதுகாப்பாக இருக்க என்ன செய்ய முடியும் என்பதை OpenAI வரையறுக்கிறது
OpenAI குறிப்பிடத்தக்க பொறுப்பை நிறுவனங்கள் மற்றும் அவர்கள் ஆதரிக்கும் பயனர்களுக்குத் தள்ளியது. இது பாதுகாப்புக் குழுக்கள் அடையாளம் காண வேண்டிய நீண்டகால முறை கிளவுட் பகிரப்பட்ட பொறுப்பு மாதிரிகள்.
அங்கீகரிக்கப்பட்ட தளங்களுக்கு ஏஜென்ட்டுக்கு அணுகல் தேவைப்படாதபோது, லாக்-அவுட் பயன்முறையைப் பயன்படுத்துமாறு நிறுவனம் பரிந்துரைக்கிறது. மின்னஞ்சல்களை அனுப்புவது அல்லது வாங்குதல்களை முடிப்பது போன்ற விளைவுகளை முகவர் எடுக்கும் முன் உறுதிப்படுத்தல் கோரிக்கைகளை கவனமாக மதிப்பாய்வு செய்யுமாறு இது அறிவுறுத்துகிறது.
மேலும் இது பரந்த அறிவுறுத்தல்களுக்கு எதிராக எச்சரிக்கிறது. "’எனது மின்னஞ்சல்களை மதிப்பாய்வு செய்து தேவையான நடவடிக்கையை எடுங்கள்,’ போன்ற மிக விரிவான அறிவுறுத்தல்களைத் தவிர்க்கவும்" OpenAI எழுதியது. "மறைந்திருக்கும் அல்லது தீங்கிழைக்கும் உள்ளடக்கம் முகவர் மீது செல்வாக்கு செலுத்துவதை பரந்த அட்சரேகை எளிதாக்குகிறது, பாதுகாப்புகள் இருக்கும் போது கூட."
முகவர் சுயாட்சி மற்றும் அதன் சாத்தியமான அச்சுறுத்தல்கள் பற்றிய தாக்கங்கள் தெளிவாக உள்ளன. AI ஏஜென்ட்டுக்கு நீங்கள் எவ்வளவு சுதந்திரம் கொடுக்கிறீர்களோ, அவ்வளவு அதிகமாக தாக்குதல் மேற்பரப்பை உருவாக்குகிறீர்கள். OpenAI பாதுகாப்பை உருவாக்குகிறது, ஆனால் நிறுவனங்கள் மற்றும் அவர்கள் பாதுகாக்கும் பயனர்கள் வெளிப்பாட்டைக் கட்டுப்படுத்தும் பொறுப்பை ஏற்கிறார்கள்.
நிறுவனங்கள் இன்று எங்கே நிற்கின்றன
நிறுவனங்கள் உண்மையில் எவ்வளவு தயாராக உள்ளன என்பதைப் புரிந்து கொள்ள, வென்ச்சர்பீட் நிறுவன அளவுகளில் 100 தொழில்நுட்ப முடிவெடுப்பவர்களை ஆய்வு செய்தது, தொடக்கங்கள் முதல் 10,000+ பணியாளர்களைக் கொண்ட நிறுவனங்கள் வரை. நாங்கள் ஒரு எளிய கேள்வியைக் கேட்டோம்: உடனடி வடிகட்டுதல் மற்றும் முறைகேடுகளைக் கண்டறிவதற்கான பிரத்யேக தீர்வுகளை உங்கள் நிறுவனம் வாங்கி செயல்படுத்தியுள்ளதா?
34.7% பேர் மட்டுமே ஆம் என்று கூறியுள்ளனர். மீதமுள்ள 65.3% பேர் இல்லை என்று கூறினர் அல்லது தங்கள் நிறுவனத்தின் நிலையை உறுதிப்படுத்த முடியவில்லை.
அந்த பிளவு முக்கியமானது. உடனடி உட்செலுத்துதல் பாதுகாப்பு இனி வளர்ந்து வரும் கருத்தாக இல்லை என்பதை இது காட்டுகிறது; இது உண்மையான நிறுவன தத்தெடுப்புடன் கூடிய கப்பல் தயாரிப்பு வகை. ஆனால் சந்தை இன்னும் எவ்வளவு ஆரம்பத்தில் உள்ளது என்பதையும் இது வெளிப்படுத்துகிறது. இன்று AI அமைப்புகளை இயக்கும் நிறுவனங்களில் கிட்டத்தட்ட மூன்றில் இரண்டு பங்கு பிரத்யேக பாதுகாப்புகள் இல்லாமல், இயல்பு மாதிரி பாதுகாப்புகள், உள் கொள்கைகள் அல்லது பயனர் பயிற்சியை நம்பியிருக்கிறது.
அர்ப்பணிப்பு பாதுகாப்பு இல்லாமல் கணக்கெடுக்கப்பட்ட பெரும்பாலான நிறுவனங்களில், எதிர்கால கொள்முதல் தொடர்பான முக்கிய பதில் நிச்சயமற்றதாக இருந்தது. எதிர்கால பர்ச்சேஸ்கள் பற்றி கேட்டபோது, பெரும்பாலான பதிலளித்தவர்களால் தெளிவான காலக்கெடு அல்லது முடிவெடுக்கும் பாதையை வெளிப்படுத்த முடியவில்லை. மிகவும் சொல்லக்கூடிய சமிக்ஞை கிடைக்கக்கூடிய விற்பனையாளர்கள் அல்லது தீர்வுகள் இல்லாதது அல்ல – இது முடிவெடுக்காதது. பல சந்தர்ப்பங்களில், நிறுவனங்கள் AI ஐ எவ்வாறு பாதுகாக்க வேண்டும் என்பதை முறைப்படுத்துவதை விட வேகமாக பயன்படுத்துவதாகத் தோன்றுகிறது.
பட்ஜெட் கட்டுப்பாடுகள், போட்டியிடும் முன்னுரிமைகள், முதிர்ச்சியடையாத வரிசைப்படுத்தல்கள் அல்லது ஏற்கனவே உள்ள பாதுகாப்புகள் போதுமானது என்ற நம்பிக்கையின் காரணமாக – தத்தெடுப்பு ஏன் தாமதமாகிறது என்பதை தரவு விளக்க முடியாது. ஆனால் இது ஒரு விஷயத்தை தெளிவாக்குகிறது: AI தத்தெடுப்பு AI பாதுகாப்பு தயார்நிலையை விட அதிகமாக உள்ளது.
சமச்சீரற்ற பிரச்சனை
ஓபன்ஏஐயின் தற்காப்பு அணுகுமுறை பெரும்பாலான நிறுவனங்களுக்கு இல்லாத நன்மைகளைப் பயன்படுத்துகிறது. நிறுவனம் அதன் சொந்த மாடல்களுக்கான வெள்ளை-பெட்டி அணுகலைக் கொண்டுள்ளது, அதன் பாதுகாப்பு அடுக்கைப் பற்றிய ஆழமான புரிதல் மற்றும் தொடர்ச்சியான தாக்குதல் உருவகப்படுத்துதல்களை இயக்குவதற்கான கணக்கீடு. அதன் தானியங்கி தாக்குபவர் பெறுகிறார் "பாதுகாவலரின் பகுத்தறிவு தடயங்களுக்கான சலுகை பெற்ற அணுகல் …" அதை கொடுக்கும் "ஒரு சமச்சீரற்ற நன்மை, அது வெளிப்புற எதிரிகளை விஞ்சக்கூடிய முரண்பாடுகளை உயர்த்துகிறது."
AI முகவர்களை வரிசைப்படுத்தும் நிறுவனங்கள் குறிப்பிடத்தக்க பாதகத்துடன் செயல்படுகின்றன. OpenAI ஆனது ஒயிட்-பாக்ஸ் அணுகல் மற்றும் தொடர்ச்சியான உருவகப்படுத்துதல்களைப் பயன்படுத்துகையில், பெரும்பாலான நிறுவனங்கள் தங்கள் முகவர்களின் நியாயப்படுத்தல் செயல்முறைகளில் கருப்பு-பெட்டி மாதிரிகள் மற்றும் வரையறுக்கப்பட்ட தெரிவுநிலையுடன் வேலை செய்கின்றன. தானியங்கு ரெட்-டீமிங் உள்கட்டமைப்புக்கான ஆதாரங்கள் சிலரிடம் உள்ளது. இந்த சமச்சீரற்ற தன்மை ஒரு சிக்கலான சிக்கலை உருவாக்குகிறது: நிறுவனங்கள் AI வரிசைப்படுத்தல்களை விரிவுபடுத்துவதால், அவற்றின் தற்காப்பு திறன்கள் நிலையானதாக இருக்கும், கொள்முதல் சுழற்சிகள் அடைய காத்திருக்கின்றன.
றோபஸ்ட் இண்டலிஜென்ஸ், லேகேரா, ப்ராம்ப்ட் செக்யூரிட்டி (இப்போது சென்டினல்ஒனின் பகுதி) உள்ளிட்ட மூன்றாம் தரப்பு உடனடி ஊசி பாதுகாப்பு விற்பனையாளர்கள் இந்த இடைவெளியை நிரப்ப முயற்சிக்கின்றனர். ஆனால் தத்தெடுப்பு குறைவாகவே உள்ளது. அர்ப்பணிப்பு பாதுகாப்பு இல்லாத 65.3% நிறுவனங்கள், அவற்றின் மாதிரி வழங்குநர்கள், கொள்கை ஆவணங்கள் மற்றும் விழிப்புணர்வுப் பயிற்சி உள்ளிட்டவற்றின் உள்ளமைக்கப்பட்ட பாதுகாப்புகளில் செயல்படுகின்றன.
அதிநவீன பாதுகாப்புகள் கூட உறுதியான உத்தரவாதங்களை வழங்க முடியாது என்பதை OpenAI இன் இடுகை தெளிவுபடுத்துகிறது.
இதிலிருந்து CISO கள் என்ன எடுக்க வேண்டும்
OpenAI இன் அறிவிப்பு அச்சுறுத்தல் மாதிரியை மாற்றாது; அதை ஊர்ஜிதம் செய்கிறது. உடனடி ஊசி உண்மையானது, அதிநவீனமானது மற்றும் நிரந்தரமானது. மிகவும் மேம்பட்ட AI முகவரை அனுப்பும் நிறுவனம், இந்த அச்சுறுத்தலை காலவரையின்றி எதிர்பார்க்குமாறு பாதுகாப்புத் தலைவர்களிடம் கூறியது.
மூன்று நடைமுறை தாக்கங்கள் பின்வருமாறு:
-
அதிக முகவர் சுயாட்சி, பெரிய தாக்குதல் மேற்பரப்பு. பரந்த தூண்டுதல்களைத் தவிர்ப்பதற்கும் உள்நுழைந்த அணுகலைக் கட்டுப்படுத்துவதற்கும் OpenAI இன் வழிகாட்டுதல் அட்லஸுக்கு அப்பால் பொருந்தும். பரந்த அட்சரேகை மற்றும் உணர்திறன் அமைப்புகளுக்கான அணுகல் கொண்ட எந்த AI முகவரும் அதே வெளிப்பாட்டை உருவாக்குகிறது. என ஃபாரெஸ்டர் இந்த ஆண்டு தொடக்கத்தில் அவர்களின் வருடாந்திர பாதுகாப்பு உச்சிமாநாட்டின் போது குறிப்பிட்டது, generative AI என்பது ஒரு குழப்ப முகவர். இந்த வாரம் வெளியிடப்பட்ட OpenAI இன் சோதனை முடிவுகளின் அடிப்படையில் இந்த கணிப்பு முன்கூட்டியதாக மாறியது.
-
தடுப்பதை விட கண்டறிதல் முக்கியமானது. உறுதியான பாதுகாப்பு சாத்தியமில்லை என்றால், தெரிவுநிலை முக்கியமானதாகிறது. முகவர்கள் எதிர்பாராமல் நடந்துகொள்ளும் போது நிறுவனங்கள் தெரிந்து கொள்ள வேண்டும், பாதுகாப்புகள் வைத்திருக்கும் நம்பிக்கை மட்டும் அல்ல.
-
வாங்க-எதிர்-கட்ட முடிவு நேரலையில் உள்ளது. ஓபன்ஏஐ தன்னியக்க ரெட்-டீமிங் மற்றும் விரோதப் பயிற்சியில் அதிக அளவில் முதலீடு செய்கிறது. பெரும்பாலான நிறுவனங்களால் இதைப் பிரதிபலிக்க முடியாது. மூன்றாம் தரப்பு கருவிகள் இடைவெளியை மூட முடியுமா என்பதும், 65.3% அர்ப்பணிப்பு பாதுகாப்பு இல்லாதவர்கள் ஒரு சம்பவம் சிக்கலைத் தூண்டும் முன் ஏற்றுக்கொள்வார்களா என்பதும் கேள்வி.
கீழ் வரி
பாதுகாப்பு பயிற்சியாளர்கள் ஏற்கனவே அறிந்ததை OpenAI கூறியது: உடனடி ஊசி ஒரு நிரந்தர அச்சுறுத்தல். ஏஜெண்டிக் AI இல் கடுமையாக அழுத்தம் கொடுக்கும் நிறுவனம் இந்த வாரம் “ஏஜெண்ட் பயன்முறை … பாதுகாப்பு அச்சுறுத்தல் மேற்பரப்பை விரிவுபடுத்துகிறது” மற்றும் பாதுகாப்பிற்கு தொடர்ச்சியான முதலீடு தேவைப்படுகிறது, ஒரு முறை தீர்வை அல்ல.
34.7% நிறுவனங்கள் அர்ப்பணிப்பு பாதுகாப்புகளை இயக்குகின்றன, ஆனால் அவை தாக்குதல்கள் நிகழும்போது அவற்றைக் கண்டறியும் நிலையில் உள்ளன. பெரும்பாலான நிறுவனங்கள், மாறாக, நோக்கத்திற்காக கட்டமைக்கப்பட்ட பாதுகாப்புகளை விட இயல்புநிலை பாதுகாப்புகள் மற்றும் கொள்கை ஆவணங்களை நம்பியுள்ளன. OpenAI இன் ஆராய்ச்சி, அதிநவீன பாதுகாப்புகள் கூட உறுதியான உத்தரவாதங்களை வழங்க முடியாது என்பதை தெளிவுபடுத்துகிறது – அந்த அணுகுமுறையின் அபாயத்தை அடிக்கோடிட்டுக் காட்டுகிறது.
இந்த வாரம் OpenAI இன் அறிவிப்பு, தரவு ஏற்கனவே என்ன காட்டுகிறது என்பதை அடிக்கோடிட்டுக் காட்டுகிறது: AI வரிசைப்படுத்தலுக்கும் AI பாதுகாப்பிற்கும் இடையே உள்ள இடைவெளி உண்மையானது – மேலும் விரிவடைகிறது. உறுதியான உத்தரவாதங்களுக்காக காத்திருப்பது இனி ஒரு உத்தி அல்ல. பாதுகாப்புத் தலைவர்கள் உரிய நடவடிக்கை எடுக்க வேண்டும்.
More Stories
“பவர்ஹவுஸ்” ஐபோன் 17.. இன்னும் 4 வாரங்களில் அதிர வைக்கும்.! எப்போது முதல் ஆர்டர் போடலாம்? | Apple iPhone 17 is set to Release on September 9, Know the full schedule
iOS கன்சோல் எமுலேட்டர்களுக்கான மோசமான செய்தி: StikDebug ஆப் ஸ்டோரிலிருந்து எடுக்கப்பட்டது
ஃபிடிலிட்டி வங்கி அவசரகால பதிலை அதிகரிக்கிறது, தீயணைக்கும் கருவிகளை இகோய் தீயணைப்பு சேவைக்கு நன்கொடையாக வழங்குகிறது