Para peneliti keamanan siber telah lama memperingatkan bahwa program kecerdasan buatan generatif (GenAI) rentan terhadap beragam serangan, mulai dari perintah yang dirancang khusus yang dapat merusak pagar pembatas, hingga kebocoran data yang dapat mengungkap informasi sensitif.
Semakin mendalam penelitian dilakukan, semakin banyak ahli yang mengetahui seberapa besar GenAI merupakan risiko yang terbuka lebar, terutama bagi pengguna perusahaan dengan data yang sangat sensitif dan berharga.
Juga: AI generatif dapat dengan mudah dibuat jahat meski ada pembatas, kata para ilmuwan
“Ini adalah vektor serangan baru yang membuka permukaan serangan baru,” kata Elia Zaitsev, kepala teknologi vendor keamanan siber CrowdStrike, dalam wawancara dengan ZDNET.
“Saya melihat banyak orang dengan AI generatif yang terburu-buru menggunakan teknologi ini, dan mereka mengabaikan kontrol dan metode normal” komputasi aman, kata Zaitsev.
“Dalam banyak hal, Anda dapat menganggap teknologi AI generatif sebagai sistem operasi baru, atau bahasa pemrograman baru,” kata Zaitsev. “Banyak orang tidak memiliki keahlian mengenai apa kelebihan dan kekurangannya, dan bagaimana cara menggunakannya dengan benar, bagaimana cara mengamankannya dengan benar.”
Contoh terkini yang paling terkenal dari AI yang menimbulkan masalah keamanan adalah fitur Recall milik Microsoft, yang awalnya akan dibangun di semua PC Copilot+ baru.
Para peneliti keamanan telah menunjukkan bahwa penyerang yang mendapatkan akses ke PC dengan fungsi Recall dapat melihat seluruh riwayat interaksi individu dengan PC, tidak seperti apa yang terjadi ketika keystroke logger atau spyware lainnya sengaja ditempatkan di mesin.
“Mereka telah merilis fitur konsumen yang pada dasarnya merupakan spyware bawaan, yang menyalin semua yang Anda lakukan dalam file lokal yang tidak terenkripsi,” jelas Zaitsev. “Ini adalah tambang emas bagi musuh untuk kemudian menyerang, berkompromi, dan mendapatkan segala macam informasi.”
Juga: Dealer mobil AS terguncang akibat serangan siber besar-besaran: 3 hal yang harus diketahui pelanggan
Setelah mendapat reaksi keras, Microsoft mengatakan akan mematikan fitur tersebut secara default pada PC, menjadikannya fitur opt-in sebagai gantinya. Peneliti keamanan mengatakan masih ada risiko pada fungsi tersebut. Selanjutnya, perusahaan mengatakan tidak akan membuat Recall tersedia sebagai fitur pratinjau di PC Copilot+, dan sekarang mengatakan Ingat “akan segera hadir melalui Pembaruan Windows pasca peluncuran.”
Namun, ancamannya lebih luas dibandingkan aplikasi yang dirancang dengan buruk. Masalah yang sama dalam memusatkan sejumlah informasi berharga juga terjadi pada semua teknologi model bahasa besar (LLM), kata Zaitsev.
“Saya melihat banyak orang terburu-buru menggunakan teknologi ini, dan mereka mengabaikan kontrol dan metode normal” komputasi yang aman, kata Elia Zaitsev dari Crowdstrike.
Serangan Massa
“Saya menyebutnya LLM telanjang,” katanya, mengacu pada model bahasa besar. “Jika saya melatih sekumpulan informasi sensitif, memasukkannya ke dalam model bahasa besar, dan kemudian membuat model bahasa besar itu dapat diakses langsung oleh pengguna akhir, maka serangan injeksi cepat dapat digunakan di mana Anda bisa membuatnya membuang semua informasi sensitif tersebut.” informasi pelatihan, termasuk informasi yang sensitif.”
Para eksekutif perusahaan teknologi juga menyuarakan keprihatinan serupa. Di dalam wawancara bulan ini dengan buletin teknologi The Technology Letter, CEO vendor penyimpanan data Pure Storage, Charlie Giancarlo, mengatakan bahwa LLM “belum siap untuk infrastruktur perusahaan.”
Giancarlo mengutip kurangnya “kontrol akses berbasis peran” di LLM. Program ini akan memungkinkan siapa pun untuk mengetahui perintah LLM dan mengetahui data sensitif yang telah diserap dengan proses pelatihan model.
Juga: Penjahat dunia maya menggunakan AI Llama 2 Meta, menurut CrowdStrike
“Saat ini, tidak ada pengendalian yang baik,” kata Giancarlo.
“Jika saya meminta bot AI untuk menulis skrip penghasilan saya, masalahnya adalah saya bisa memberikan data yang hanya bisa saya miliki,” sebagai CEO, jelasnya, “tapi begitu Anda mengajari bot itu, bot itu tidak bisa melupakannya. , sehingga orang lain — sebelum pengungkapannya — dapat bertanya, ‘Berapa penghasilan Pure nantinya?’ dan itu akan memberitahu mereka.” Mengungkapkan informasi pendapatan perusahaan sebelum jadwal pengungkapan dapat menyebabkan insider trading dan pelanggaran sekuritas lainnya.
Program GenAI, kata Zaitsev, adalah “bagian dari kategori yang lebih luas yang dapat disebut sebagai intrusi tanpa malware,” di mana tidak perlu ada perangkat lunak berbahaya yang ditemukan dan ditempatkan pada sistem komputer target.
Pakar keamanan siber menyebut kode tanpa malware seperti itu “hidup di alam,” kata Zaitsev, menggunakan kerentanan yang melekat pada program perangkat lunak berdasarkan desain. “Anda tidak membawa apa pun dari luar, Anda hanya memanfaatkan apa yang sudah ada dalam sistem operasi.”
Contoh umum kehidupan dari alam meliputi injeksi SQLdi mana bahasa kueri terstruktur yang digunakan untuk menanyakan database SQL dapat dibentuk dengan urutan karakter tertentu untuk memaksa database mengambil langkah-langkah yang biasanya dikunci.
Demikian pula, LLM sendiri merupakan basis data, karena fungsi utama model adalah “hanya kompresi data yang sangat efisien” yang secara efektif menciptakan penyimpanan data baru. “Ini sangat mirip dengan injeksi SQL,” kata Zaitsev. “Itu adalah sifat negatif mendasar dari teknologi ini.”
Namun, teknologi Gen AI bukanlah sesuatu yang bisa diabaikan. Teknologi ini memiliki nilai tersendiri jika dapat digunakan dengan hati-hati. “Saya telah melihat sendiri beberapa keberhasilan yang sangat spektakuler dengan [GenAI] “Teknologi,” kata Zaitsev. “Dan kami sudah menggunakannya dengan sangat efektif dalam menghadapi pelanggan dengan Charlotte AI,” program asisten Crowdstrike yang dapat membantu mengotomatiskan beberapa fungsi keamanan.
Selain itu: Kegagalan keamanan cloud di dunia usaha juga ‘mengkhawatirkan’ – seiring dengan semakin cepatnya ancaman AI
Di antara teknik untuk mengurangi risiko adalah dengan memvalidasi permintaan pengguna sebelum masuk ke LLM, lalu memvalidasi respons sebelum dikirim kembali ke pengguna.
“Anda tidak mengizinkan pengguna untuk meneruskan perintah yang belum diperiksa, langsung ke LLM,” kata Zaitsev.
Misalnya, LLM “telanjang” dapat mencari langsung dalam basis data yang dapat diaksesnya melalui “RAG,” atau, retrieval-augmented generation, praktik yang semakin umum untuk mengambil perintah pengguna dan membandingkannya dengan konten basis data. Hal itu memperluas kemampuan LLM untuk mengungkapkan tidak hanya informasi sensitif yang telah dikompresi oleh LLM, tetapi juga seluruh repositori informasi sensitif dalam sumber eksternal tersebut.
RAG merupakan metodologi umum untuk memungkinkan LLM mengakses basis data.
Bahasa Indonesia: Baidu
Kuncinya adalah tidak mengizinkan LLM mengakses penyimpanan data secara langsung, kata Zaitsev. Dalam arti tertentu, Anda harus menjinakkan RAG sebelum memperburuk masalah.
“Kami memanfaatkan properti LLM di mana pengguna dapat mengajukan pertanyaan terbuka, dan kemudian kami menggunakannya untuk memutuskan, apa yang mereka coba lakukan, dan kemudian kami menggunakan teknologi pemrograman yang lebih tradisional” untuk memenuhi permintaan tersebut.
“Contohnya, Charlotte AI, dalam banyak kasus, memungkinkan pengguna untuk mengajukan pertanyaan umum, tetapi kemudian yang dilakukan Charlotte adalah mengidentifikasi bagian platform mana, kumpulan data apa yang memiliki sumber kebenaran, untuk kemudian ditarik guna menjawab pertanyaan” melalui panggilan API daripada memungkinkan LLM untuk menanyakan database secara langsung.
Juga: AI mengubah keamanan siber dan bisnis harus menyadari ancamannya
“Kami telah berinvestasi dalam membangun platform yang kuat ini dengan API dan kemampuan pencarian, jadi kami tidak perlu terlalu bergantung pada LLM, dan sekarang kami meminimalkan risikonya,” kata Zaitsev.
“Yang penting adalah Anda telah mengunci interaksi ini, tidak terbuka lebar.”
Di luar penyalahgunaan pada perintah, fakta bahwa GenAI dapat membocorkan data pelatihan merupakan masalah yang sangat luas yang harus diatasi dengan kontrol yang memadai, kata Zaitsev.
“Apakah Anda akan memasukkan nomor jaminan sosial Anda ke dalam prompt yang kemudian Anda kirimkan ke pihak ketiga yang Anda tidak tahu, kini melatih nomor jaminan sosial Anda ke dalam LLM baru yang kemudian dapat dibocorkan oleh seseorang melalui serangan suntikan? “
“Privasi, informasi identitas pribadi, mengetahui di mana data Anda disimpan, dan bagaimana data tersebut diamankan — semua itu adalah hal-hal yang harus diperhatikan orang ketika mereka membangun teknologi Gen AI, dan menggunakan vendor lain yang menggunakan teknologi tersebut.”
