Primena veštačke inteligencije stvorila nove rizike za sigurnost OSS
Summary
Trenutno stanje sigurnosti OSS Otvoreni izvorni softver (OSS) se koristi u 67,5% radnih procesa podataka i IT profesionalaca i predstavlja osnovu poslovnih operacija. Međutim, samo 18% IT administratora se oseća veoma sigurno u svoju sposobnost da identifikuje i otkloni vulnerabilnosti […]
Trenutno stanje sigurnosti OSS
Otvoreni izvorni softver (OSS) se koristi u 67,5% radnih procesa podataka i IT profesionalaca i predstavlja osnovu poslovnih operacija. Međutim, samo 18% IT administratora se oseća veoma sigurno u svoju sposobnost da identifikuje i otkloni vulnerabilnosti OSS. Upravljanje ovim vulnerabilnostima može biti izazovan zadatak s obzirom da se svakodnevno objavljuje više od 70 novih uočenih ranjivosti. Ubrzane promene u OSS otežavaju timovima za sigurnost da usklade hitne potrebe poslovanja i zahteve korisnika za ovim alatima sa bezbednošću organizacije. Pritisnuti potrebom za usvajanje veštačke inteligencije, organizacije bi se uskoro mogle suočiti s potencijalnim rizicima vezanim za upravljanje podacima.
Primena veštačke inteligencije povećava rizike OSS
Dok su veoma moćni alati, povećanje upotrebe generativnih AI alata privuklo je veći broj napada na velike jezičke modele (LLM) koji se koriste u open-source rešenjima. Većina organizacija ne može da opravda ulaganje u izradu i održavanje novih, autonomnih modela. Umesto toga, mnoge organizacije preferiraju korišćenje open-source LLM u svojim poslovnim aplikacijama i radnim procesima. Povećanje usvajanja ovih open-source LLM čini ih primamljivim metama za cyber-kriminalce.
Jedna od uspešnih tehnika su ubrizgavanja prompt-a, pri kojima hakeri koriste niz promptova koje LLM ne može razumeti kako bi manipulisali izlazom modela. Postoji i mogućnost zaobići restrikcije LLM-a. To znači da ukoliko ubrizgavanje prompt-a uspešno zaobiđe restrikcije javnog modela, organizacije koje koriste taj model su nesvesno ugrožene.
Ostale tehnike koje ciljaju open-source softver takođe sve više rastu. Na primer, nedavni napadi tipa typosquatting i starjacking koji ciljaju popularni open-source Python paket za analizu podataka i AI demonstriraju kako ove pretnje mogu biti teške za otkrivanje i brzo se šire. Sa pojavom generativne veštačke inteligencije, hakeri mogu brzo primeniti složenije napade i postaviti zamke za orgnizacije svih veličina.
Kako zaštiti softverski lanac snabdevanja
Kako pristup novim tehnologijama kao što je AI raste, tako će se i transformisati pejzaž sigurnosti. Osnovno poznavanje će pomoći IT i timovima za sigurnost da preduzmu konkretne korake kako bi ostali sigurni protiv novih i inovativnih pretnji.
Ključne strategije za izgradnju uspešne sigurnosne strategije OSS uključuju:
– Identifikovanje pouzdanih izvora open-source paketa:
– Implementacija redovnog ažuriranja softvera i zakrpi:
– Praćenje i upravljanje vulnerabilnostima:
– Edukacija zaposlenih o sigurnosnim praksama i opasnostima:
Kroz ove korake, organizacije mogu raditi na usklađivanju i jačanju bezbednosti OSS snabdevačkog lanca i minimizirati rizike od pretnji.