22 Haziran 2023Hacker Haberleri
Generative-AI uygulamaları yüzünden uykunuz mu kaçıyor? Yalnız ya da yanlış değilsin. Astrix Security Research Group’a göre, orta ölçekli kuruluşlar halihazırda Slack, GitHub ve Google Workspace gibi temel sistemlerle ortalama 54 Generative-AI entegrasyonuna sahip ve bu sayının daha da artması bekleniyor. Potansiyel riskleri ve bunların nasıl en aza indirileceğini anlamak için okumaya devam edin.
Astrix Security uzmanlarıyla bir Üretken Yapay Zeka Keşfi oturumu rezervasyonu yapın (ücretsiz – koşulsuz – aracısız ve sıfır sürtünme)
“Hey ChatGPT, kaynak kodumuzu inceleyin ve optimize edin”
“Hey Jasper.ai, bu çeyrekteki tüm net yeni müşterilerimizin bir özet e-postasını oluştur”
“Hey Otter.ai, Zoom yönetim kurulu toplantımızı özetleyin”
Bu finansal kargaşa çağında, işletmeler ve çalışanlar, üçüncü taraf uygulamalarını API anahtarları, OAuth belirteçleri, hizmet aracılığıyla Google çalışma alanı, Slack ve GitHub gibi temel iş sistemlerine bağlayarak iş süreçlerini otomatikleştirecek ve verimliliği ve üretkenliği artıracak araçlar arıyor. hesaplar ve daha fazlası. Generative-AI uygulamalarının ve GPT hizmetlerinin yükselişi, tüm departmanların çalışanlarının güvenlik ekibinin bilgisi olmadan üretkenlik cephaneliklerine en son ve en iyi AI uygulamalarını hızla eklemesiyle bu sorunu daha da kötüleştiriyor.
Kod inceleme ve optimizasyon gibi mühendislik uygulamalarından içerik ve video oluşturma, görüntü oluşturma ve e-posta otomasyon uygulamaları gibi pazarlama, tasarım ve satış uygulamalarına kadar. İle ChatGPT en hızlı büyüyen uygulama oluyor geçmişte ve AI destekli uygulamalar indiriliyor Geçen yıla göre %1506 daha fazlakullanmanın güvenlik riskleri ve daha da kötüsü, bu genellikle incelenmemiş uygulamaları işletmenin temel sistemlerine bağlama, şimdiden güvenlik liderleri için uykusuz gecelere neden oluyor.
Yapay zeka tabanlı uygulamalar, güvenlik liderleri için iki ana endişe kaynağı sunar:
1. ChatGPT gibi uygulamalar aracılığıyla Veri Paylaşımı: Yapay zekanın gücü verilerde yatar, ancak bu güç, yanlış yönetilirse bir zayıflık olabilir. Çalışanlar, müşterilerin PII’leri ve kod gibi fikri mülkiyet hakları dahil olmak üzere hassas, işle ilgili kritik bilgileri istemeden paylaşabilir. Bu tür sızıntılar, kuruluşları veri ihlallerine, rekabetçi dezavantajlara ve uyumluluk ihlallerine maruz bırakabilir. Ve bu bir masal değil – sadece Samsung’a sorun.
Samsung ve ChatGPT sızıntıları – dikkat edilmesi gereken bir durum
Samsung bildirdi üretkenlik amacıyla ChatGPT kullanan üç çalışan tarafından üç farklı yüksek düzeyde hassas bilgi sızıntısı. Çalışanlardan biri hata olup olmadığını kontrol etmek için gizli bir kaynak kodunu, kod optimizasyonu için başka bir kodu paylaştı ve üçüncüsü bir sunum için toplantı notlarına dönüştürmek üzere bir toplantının kaydını paylaştı. Tüm bu bilgiler artık ChatGPT tarafından yapay zeka modellerini eğitmek için kullanılıyor ve web üzerinden paylaşılabiliyor.
2. Doğrulanmamış Generative-AI uygulamaları: Üretken AI uygulamalarının tümü doğrulanmış kaynaklardan gelmez. Astrix’in yakın tarihli araştırması, çalışanların bu AI tabanlı uygulamaları (genellikle yüksek ayrıcalıklı erişime sahip olan) GitHub, Salesforce ve benzeri temel sistemlere giderek daha fazla bağladığını ve bunun da önemli güvenlik endişelerini artırdığını ortaya koyuyor.
Astrix Security uzmanlarıyla bir Üretken Yapay Zeka Keşfi oturumu rezervasyonu yapın (ücretsiz – koşulsuz – aracısız ve sıfır sürtünme)
Aşağıdaki resimlerde detayları görebilirsiniz. Astrix platformu kuruluşun Google Workspace ortamına bağlanan riskli bir Gen-AI entegrasyonu hakkında.
Google Workspace Integration “GPT For Gmail” adlı bu entegrasyon, güvenilmeyen bir geliştirici tarafından geliştirildi ve kuruluşun Gmail hesaplarına yüksek izinlerle verildi:
Entegrasyona verilen izinlerin kapsamları arasında, üçüncü taraf uygulamasının e-postaları okumasına, oluşturmasına, göndermesine ve silmesine izin veren “mail.all” vardır – bu çok hassas bir ayrıcalıktır:
Güvenilmeyen, entegrasyonun tedarikçisi hakkında bilgiler:
Yapay zekanın heyecan verici ama karmaşık ortamında güvenli bir şekilde gezinmek için güvenlik ekiplerinin, çalışanlarınızın bağlandığı üçüncü taraf hizmetlerinde görünürlük elde etmek, izinler üzerinde kontrol sağlamak ve potansiyel güvenlik risklerini uygun şekilde değerlendirmek için güçlü insan olmayan kimlik yönetimine ihtiyacı vardır. Astrix ile artık şunları yapabilirsiniz:
Astrix Security uzmanlarıyla bir Üretken Yapay Zeka Keşfi oturumu rezervasyonu yapın (ücretsiz – koşulsuz – aracısız ve sıfır sürtünme)