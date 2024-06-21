Seiring dengan meningkatnya adopsi AI generatif (Gen AI ), begitu juga dengan risiko ancaman orang dalam. Solusi ini memberi tekanan lebih besar pada bisnis untuk memikirkan kembali kebijakan keamanan dan kerahasiaan.
Hanya dalam beberapa tahun, kecerdasan buatan (AI) telah mengubah dunia kerja secara radikal. 61% pekerja berbasis pengetahuan sekarang menggunakan alat gen AI -— terutama ChatGPT OpenAI — dalam rutinitas harian mereka. Pada saat bersamaan, para pemimpin bisnis, seringkali sebagian didorong oleh rasa takut ketinggalan, menginvestasikan miliaran dolar dalam alat yang didukung oleh gen AI. Bukan hanya chatbot yang mereka investasikan, tetapi juga sintesis gambar, perangkat lunak kloning suara, dan bahkan teknologi video deepfake untuk membuat avatar virtual.
Gen AI masih memerlukan waktu yang panjang sebelum benar-benar mampu berperilaku dan berinteraksi layaknya manusia. Bahkan jika — atau mungkin ketika — hal itu benar-benar terjadi, risiko etika dan siber yang menyertainya akan terus meningkat. Bagaimanapun, ketika menjadi mustahil untuk membedakan apakah seseorang atau sesuatu itu nyata atau tidak, risiko orang-orang dimanipulasi oleh mesin tanpa mereka sadari akan meningkat tajam.
Sebagian besar percakapan tentang keamanan di era Gen AI menyangkut implikasinya dalam rekayasa sosial dan ancaman eksternal lainnya. Tetapi para profesional infosec tidak boleh mengabaikan bagaimana teknologi dapat sangat memperluas permukaan serangan ancaman orang dalam juga.
Mengingat terburu-buru untuk mengadopsi alat Gen AI, banyak perusahaan telah menemukan diri mereka dalam masalah. Baru tahun lalu, Samsung dilaporkan melarang penggunaan alat Gen AI di tempat kerja setelah karyawan dicurigai berbagi data sensitif dalam percakapan dengan ChatGPT OpenAI.
Secara default, OpenAI merekam dan mengarsipkan semua percakapan, berpotensi untuk digunakan dalam melatih generasi mendatang dari model bahasa besar (LLM). Karena itu, informasi sensitif, seperti rahasia perusahaan, berpotensi muncul kembali nanti sebagai respons terhadap prompt. Pada bulan Desember lalu, para peneliti menguji kerentanan ChatGPT terhadap kebocoran data ketika mereka menemukan teknik sederhana untuk mengekstrak data pelatihan LLM (PDF), dan dengan demikian membuktikan konsep tersebut. OpenAI mungkin telah menambal kerentanan ini sejak saat itu, tetapi kecil kemungkinan ini akan menjadi yang terakhir.
Dengan semakin banyaknya penggunaan Gen AI yang tidak sah dalam bisnis, TI harus turun tangan untuk mencari keseimbangan yang tepat antara inovasi dan risiko cyber. Tim keamanan mungkin sudah mengenal istilah TI bayangan, tetapi ancaman baru yang muncul adalah AI bayangan atau penggunaan AI di luar tata kelola organisasi. Untuk mencegah hal itu terjadi, tim TI perlu meninjau kembali kebijakan mereka dan mengambil setiap langkah yang mungkin untuk memperkuat penggunaan alat ini secara bertanggung jawab.
Salah satu pendekatan yang terlihat paling masuk akal untuk menghadapi ancaman tersebut adalah mengembangkan solusi AI berpemilik yang dirancang khusus untuk contoh penggunaan bisnis tertentu. Bisnis dapat membangun model dari awal, tetapi biasanya mereka memulai dari model dasar sumber terbuka. Kedua opsi tersebut tetap mengandung risiko. Namun, meskipun risiko yang menyertai model sumber terbuka cenderung lebih tinggi, risiko yang terkait dengan sistem AI berpemilik bersifat lebih bernuansa—dan dampaknya pun sama beratnya.
Ketika fungsi yang didukung AI mendapatkan daya tarik dalam aplikasi perangkat lunak bisnis, fitur tersebut juga menjadi target yang lebih menarik bagi pelaku kejahatan — termasuk yang internal. Peracunan data, di mana penyerang merusak data yang digunakan untuk melatih model AI, adalah salah satu contohnya. Ancaman orang dalam itu juga hal yang nyata, terutama jika data yang dimaksud dapat diakses secara luas di seluruh organisasi, seperti yang sering terjadi dengan obrolan layanan pelanggan, deskripsi produk, atau pedoman merek. Jika Anda menggunakan data tersebut untuk melatih model AI berpemilik, maka Anda perlu memastikan integritasnya tidak dikompromikan, baik secara sengaja maupun tidak sengaja.
Orang dalam yang jahat dengan akses ke model AI berpemilik juga dapat mencoba merekayasa balik mereka. Misalnya, seseorang dengan pengetahuan internal mungkin dapat melewati jejak audit karena sistem berpemilik sering kali memiliki solusi pencatatan dan pemantauan khusus yang mungkin tidak seaman rekan-rekan utama mereka.
Eksploitasi kerentanan model menghadirkan risiko serius. Sementara model sumber terbuka dapat ditambal dengan cepat melalui keterlibatan komunitas, hal yang sama tidak dapat dikatakan tentang kelemahan tersembunyi yang mungkin dimiliki model berpemilik. Untuk mengurangi risiko ini, sangat penting bagi para pemimpin TI untuk mengamankan rantai pasokan perangkat lunak AI mereka. Transparansi dan pengawasan adalah satu-satunya cara untuk memastikan bahwa inovasi dalam AI tidak menambah risiko yang tidak dapat diterima untuk bisnis Anda.