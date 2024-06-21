Gran parte della conversazione sulla sicurezza nell'era di gen AI riguarda le sue implicazioni nel social engineering e altre minacce esterne. Tuttavia, i professionisti della sicurezza informatica non devono sottovalutare come la tecnologia possa espandere notevolmente anche la superficie di attacco delle minacce interne.

Data la fretta di adottare gli strumenti di gen AI, molte aziende si sono già trovate nei guai. Solo l'anno scorso, Samsung ha vietato l'uso degli strumenti gen AI sul posto di lavoro dopo che i dipendenti sono stati sospettati di condividere dati sensibili in conversazioni con ChatGPT di OpenAI.

Per impostazione predefinita, OpenAI registra e archivia tutte le conversazioni, potenzialmente per l'addestramento delle future generazioni dei modelli linguistici di grandi dimensioni (LLM). Per questo motivo, le informazioni sensibili, come i segreti aziendali, potrebbero potenzialmente riemergere in risposta a un prompt dell'utente. A dicembre, i ricercatori che testavano la suscettibilità di ChatGPT alla fuga di dati hanno scoperto una tecnica semplice per estrarre i dati di addestramento (PDF) dell'LLM, dimostrando così il concetto. OpenAI avrà anche corretto questa vulnerabilità da allora, ma è improbabile che sarà l'ultima.

Con l'uso non autorizzato della gen AI nelle aziende in rapida crescita, l'IT deve intervenire per cercare il giusto equilibrio tra innovazione e rischio informatico. I team di sicurezza potrebbero già conoscere il termine shadow IT, ma la nuova minaccia in questione è la shadow AI, ovvero l'uso dell'AI al di fuori della governance dell'organizzazione. Per evitare che ciò accada, i team IT devono rivedere le loro politiche e adottare ogni possibile passo per rafforzare l'uso responsabile di questi strumenti.