นักขี่ม้าทั้งสี่แห่ง Generative AI (และวิธีหลีกเลี่ยงฝันร้าย)

เผยแพร่แล้ว: 2023-10-12

การเป็นประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูลมาพร้อมกับความรับผิดชอบมากมาย ในแต่ละวัน ฉันมีหน้าที่รับผิดชอบในการปกป้องผู้ใช้ ผลิตภัณฑ์ที่เราผลิต บริษัท และข้อมูลที่อยู่เป็นศูนย์กลางของงานของเรา ทั้งหมดนี้ในขณะเดียวกันก็สร้างระบบระดับโลกที่ทำงานตลอดเวลาเพื่อค้นหาภัยคุกคาม และทำลายล้างพวกมันก่อนที่พวกมันจะก่อให้เกิดอันตรายใดๆ ฉันชอบที่ฉันได้ทำงานนี้ มีภัยคุกคามและความเสี่ยงโดยธรรมชาติกลุ่มหนึ่งที่เรารับในบทบาทนี้ แต่นั่นคือสิ่งที่ทำให้สิ่งต่างๆ น่าตื่นเต้น: การเอาชนะผู้ไม่ประสงค์ดีและค้นหาวิธีที่ดีกว่าในการปกป้องผู้ใช้ของเรา มันน่ากลัวไหม? มันอาจจะเป็นเช่นนั้น แต่ก็ไม่ควรจะเป็นฝันร้ายเลย

เมื่อเร็วๆ นี้ มีคนถามฉันว่าอะไรทำให้ฉันตื่นในตอนกลางคืน (หรือที่เรียกว่าฝันร้ายของฉันเกิดจากอะไร) และนั่นทำให้ฉันนึกถึงภัยคุกคามที่แท้จริงและที่รับรู้ได้ในยุคดิจิทัลปัจจุบันของเรา จากการวางแผนอย่างรอบคอบและการทำงานหนักจากทีมของฉันที่ Grammarly รายการสิ่งที่ทำให้ฉันตื่นตัวจึงสั้นมาก แต่สิ่งที่เปลี่ยนเกมและเราทุกคนรู้ดีก็คือ AI เชิงสร้างสรรค์

เข้าร่วมไวยากรณ์
กำหนดวิธีการสื่อสารของผู้คนนับล้าน

AI กำเนิดและความกลัวในสิ่งที่ไม่รู้

Generative AI ให้ความรู้สึกเหมือนอยู่ทุกที่ เพราะจริงๆ แล้วมีอยู่ทุกที่ ไม่ถึงหนึ่งปีที่ผ่านมา GPT เข้าถึงผู้ใช้หนึ่งล้านคนในช่วงเวลาเพียงเศษเสี้ยว (1/15 ที่แน่นอน) ของเวลาทั้งหมด โดยเป็นการเปรียบเทียบที่ใกล้เคียงที่สุด นั่นคือ Instagram

เยี่ยมเลย มีทุกที่เลย ตอนนี้อะไร? ผู้นำด้านไอทีทั่วโลกกำลังเผชิญกับความเป็นไปได้ที่น่ากลัวชุดใหม่ซึ่งเราต้องเตรียมรับมือ เวกเตอร์ภัยคุกคามนี้แตกต่างออกไป

คุณอาจไม่ทราบรายละเอียดที่สำคัญว่าเราปฏิบัติตาม SOC2 ได้อย่างไร แต่ฉันยินดีที่จะเดิมพันว่าคุณตระหนักถึงอันตรายของ generative AI และภัยคุกคามที่เกิดจากการฝึกอบรมเกี่ยวกับข้อมูลของคุณ ขวา? ขวา. Generative AI ไม่เพียงแต่อยู่ในผลิตภัณฑ์ที่เราใช้เท่านั้น แต่ยังอยู่ในวงจรข่าวสารของเราด้วย และเป็นสิ่งที่สำคัญที่สุดสำหรับทุกคนที่สนใจในโลกที่ใช้เทคโนโลยีจากระยะไกล แต่ก็ไม่ควรน่ากลัว อย่างน้อยก็ไม่ใช่ในแบบที่คุณถูกบอกให้กลัว

ไม่น่ากลัวนัก: ภัยคุกคามที่เกินจริงของ Generative AI

เราเห็นความกังวลเพิ่มมากขึ้นเกี่ยวกับการคุกคามของ generative AI ซึ่งบางอันก็น่าเชื่อถือ แต่หลาย ๆ อย่างที่ฉันเชื่อว่ามีมากเกินไปในปัจจุบัน หากฉันจะเรียกภัยคุกคามที่แท้จริงว่า Four Horsemen ลองเรียกทั้งสามคนนี้ว่า Three Stooges ของ generative AI: ข้อมูลรั่วไหล การเปิดเผย IP และการฝึกอบรมที่ไม่ได้รับอนุญาต ก่อนที่คุณจะไม่เห็นด้วย ให้ฉันอธิบายว่าทำไมฉันถึงคิดว่าประเด็นทั้งสามนี้ทำให้คุณเสียสมาธิจากความท้าทายที่แท้จริงที่เรากำลังเผชิญอยู่ในปัจจุบัน:

  • การรั่วไหลของข้อมูล: โดยไม่อนุญาตให้บุคคลที่สามฝึกอบรมข้อมูลที่เป็นความลับของคุณ การโจมตีการรั่วไหลของข้อมูลยังคงเป็นทางทฤษฎีกับโมเดลภาษาขนาดใหญ่ (LLM) ที่รู้จักกันดี โดยไม่มีการสาธิตการโจมตีเชิงปฏิบัติในวงกว้าง
  • การเปิดเผย IP: หากไม่นับการฝึกอบรมใดๆ ความเสี่ยงในการเปิดเผย IP ยังคงคล้ายกับแอปพลิเคชัน SaaS ที่ขับเคลื่อนด้วย AI ที่ไม่ก่อให้เกิดการกำเนิด เช่น สเปรดชีตออนไลน์
  • การฝึกอบรมที่ไม่ได้รับอนุญาต: การอนุญาตให้ผู้ใช้เลือกไม่รับข้อมูลที่ใช้ในการฝึกอบรม AI เชิงสร้างสรรค์กำลังกลายเป็นมาตรฐานอุตสาหกรรม ช่วยลดข้อกังวลด้านการฝึกอบรมข้อมูลที่ละเอียดอ่อนซึ่งแพร่ระบาดเมื่อไม่กี่เดือนก่อน

นักขี่ม้าทั้งสี่แห่ง AI กำเนิด

คุณควรให้ความสำคัญกับสิ่งใดเพื่อให้แน่ใจว่าองค์กรของคุณพร้อมที่จะรับมือกับความเป็นจริงใหม่ที่เรากำลังดำเนินอยู่ ฉันจะเตือนคุณ—นี่คือจุดที่มัน น่ากลัวจริงๆ

Grammarly เป็นบริษัทช่วยเหลือการเขียนด้วย AI ชั้นนำมานานกว่า 14 ปี และงานของฉันในช่วงไม่กี่ปีที่ผ่านมาคือการช่วยให้บริษัทของเราป้องกันการคุกคามที่น่าเชื่อถือ ฉันเรียกภัยคุกคามระดับฝันร้ายเหล่านี้ว่า Four Horsemen of Generative AI: ช่องโหว่ด้านความปลอดภัย ความเสี่ยงของบุคคลที่สาม ความเป็นส่วนตัวและลิขสิทธิ์ และคุณภาพผลงาน

ช่องโหว่ด้านความปลอดภัย

เนื่องจากผู้คนจำนวนมากกระโดดข้ามกลุ่ม AI เจนเนอเรทีฟและคิดค้นโมเดลต่างๆ เราพบว่าตัวเองกำลังเผชิญกับช่องโหว่ด้านความปลอดภัยใหม่ๆ ตั้งแต่ช่องโหว่ที่คาดเดาได้ไปจนถึงช่องโหว่ที่พลาดได้ง่ายจนน่ากลัว

LLM มีความอ่อนไหวต่ออาร์เรย์ของช่องโหว่ด้านความปลอดภัยที่เกิดขึ้นใหม่ (ตรวจสอบ OWASP LLM Top 10 เพื่อดูรายการที่ครอบคลุม) และเราจำเป็นต้องตรวจสอบให้แน่ใจว่าทุกขอบเขตยังคงได้รับการเสริมกำลัง ผู้ให้บริการ LLM ที่เชื่อถือได้จะต้องอธิบายว่าความพยายามในการรับรองจากบุคคลที่หนึ่งและบุคคลที่สาม เช่น ทีมงานแดงของ AI และการตรวจสอบโดยบุคคลที่สามใดบ้างที่มีส่วนร่วมในข้อเสนอของตนเพื่อบรรเทาช่องโหว่ด้านความปลอดภัยของ LLM ทำความรอบคอบของคุณ ขอบเขตที่ปลอดภัยจะไม่มีความหมายใดๆ หากคุณเปิดล็อคทิ้งไว้

ความเป็นส่วนตัวและลิขสิทธิ์

ด้วยสภาพแวดล้อมทางกฎหมายและความเป็นส่วนตัวที่เกี่ยวข้องกับการพัฒนา AI ทั่วไป คุณจะปลอดภัยเพียงใดจากการดำเนินการตามกฎระเบียบต่อผู้ให้บริการของคุณหรือตัวคุณเอง เราได้เห็นปฏิกิริยาที่ค่อนข้างรุนแรงในสหภาพยุโรป โดยพิจารณาจากที่มาของชุดข้อมูลการฝึกอบรมเท่านั้น อย่าพบว่าตัวเองตื่นขึ้นมาด้วยฝันร้ายสำหรับคุณและทีมกฎหมายของคุณ

เครื่องมือ Generative AI ขึ้นอยู่กับรูปแบบในข้อมูล แต่จะเกิดอะไรขึ้นเมื่อรูปแบบนั้นถูกยกและเปลี่ยนจากงานของคนอื่นมาที่คุณ คุณได้รับการคุ้มครองในฐานะผู้ใช้หรือไม่ หากมีคนกล่าวหาว่าคุณลอกเลียนแบบ? หากไม่มีราวกั้นที่เหมาะสม สิ่งนี้อาจเปลี่ยนจากอาการปวดหัวไม่สะดวกไปสู่ความเป็นจริงที่น่าสะพรึงกลัว ปกป้องตัวคุณเองและลูกค้าของคุณตั้งแต่เริ่มต้นโดยการพิจารณาข้อผูกพันด้านลิขสิทธิ์ของผู้ให้บริการ

ความเสี่ยงของผู้ให้บริการบุคคลที่สามของ LLM

LLM บุคคลที่สามหลายแห่งเป็นธุรกิจใหม่และจะสามารถเข้าถึงข้อมูลที่เป็นความลับได้ และในขณะที่ทุกคนบูรณาการเข้ากับเทคโนโลยีเหล่านี้ แต่ไม่ใช่ว่าทุกคนจะมีความเป็นผู้ใหญ่ ผู้เล่นรายใหญ่ เช่น ผู้ให้บริการคลาวด์ที่เป็นส่วนหนึ่งของโปรไฟล์ความเสี่ยงของเราอยู่แล้วสามารถช่วยเราลดความเสี่ยงในลักษณะที่บริษัท SaaS ขนาดเล็กไม่สามารถ (หรือเต็มใจ) ได้ หากฉันสามารถให้คำแนะนำแก่คุณได้สักข้อหนึ่ง ฉันจะบอกให้ระวังว่าคุณจะเชิญใครมางานปาร์ตี้ด้วย ความรับผิดชอบต่อลูกค้าของคุณเริ่มต้นก่อนที่พวกเขาจะใช้ผลิตภัณฑ์ของคุณ

คุณภาพผลผลิต

เครื่องมือ AI เจนเนอเรชั่นมีการตอบสนองสูง มั่นใจ และคล่องแคล่ว แต่ก็สามารถผิดพลาดและทำให้ผู้ใช้เข้าใจผิดได้ (เช่น ภาพหลอน) ตรวจสอบให้แน่ใจว่าคุณเข้าใจว่าผู้ให้บริการของคุณรับประกันความถูกต้องของเนื้อหาที่สร้างขึ้นอย่างไร

มีอะไรแย่กว่านั้น? เครื่องมือ AI เจนเนอเรชั่นสามารถสร้างเนื้อหาที่อาจไม่เหมาะสมกับผู้ชมของคุณ เช่น คำหรือสำนวนที่เป็นอันตรายต่อคนบางกลุ่ม ที่ Grammarly นั่นเป็นผลลัพธ์ที่เลวร้ายที่สุดที่ผลิตภัณฑ์ของเราสามารถทำได้ และเราทำงานอย่างหนักเพื่อระวังและป้องกันมัน

ตรวจสอบให้แน่ใจว่าคุณรู้ว่าผู้ให้บริการของคุณมีรั้วและความสามารถใดบ้างในการแจ้งเนื้อหาที่ละเอียดอ่อน สอบถามผู้ให้บริการของคุณเกี่ยวกับ API การกลั่นกรองเนื้อหาที่ช่วยให้คุณสามารถกรองเนื้อหาที่ไม่เหมาะสมกับผู้ชมของคุณได้ ความไว้วางใจของผู้ชมของคุณขึ้นอยู่กับมัน

อย่าวิ่งหนีจากมัน: ก้าวไปสู่ ​​AI ที่สร้างสรรค์อย่างมั่นใจ

สร้างทีมรักษาความปลอดภัยภายในองค์กรที่ดีที่สุดเท่าที่จะเป็นไปได้

ลงทุนในทีมรักษาความปลอดภัย AI ภายในองค์กรที่ยอดเยี่ยม ซึ่งคล้ายกับทีมรักษาความปลอดภัยบนคลาวด์ที่เราสร้างขึ้นในช่วง 10 ปีที่ผ่านมาเมื่อเราหันมาใช้การประมวลผลแบบคลาวด์ ความเชี่ยวชาญภายในจะช่วยให้คุณสรุปได้ว่าภัยคุกคามที่แท้จริงเหล่านี้อาจเกี่ยวข้องกับธุรกิจ/ผลิตภัณฑ์/ผู้บริโภคของคุณอย่างไร และเครื่องมือใดที่คุณจำเป็นต้องใช้เพื่อปกป้องตัวคุณเองอย่างเหมาะสม

ฝึกอบรมทีมผู้เชี่ยวชาญของคุณ แล้วฝึกพวกเขาให้อยู่ทีมแดง ให้พวกเขาดำเนินการผ่านการโจมตีตามโมเดล AI (เช่น การเจลเบรก การฝ่าวงล้อมผู้เช่าข้าม และการเปิดเผยข้อมูลที่ละเอียดอ่อน ฯลฯ) และแบบฝึกหัดบนโต๊ะในสถานการณ์ที่มีผลกระทบสูง เพื่อให้คุณรู้วิธีจัดการกับภัยคุกคามที่ซุ่มซ่อน

เพิ่มศักยภาพ (และติดอาวุธ) พนักงานของคุณ

เมื่อคุณนำ AI เจนเนเรทีฟมาสู่องค์กร ให้ถือว่าพนักงานของคุณเป็นแนวป้องกันที่สองจากภัยคุกคามด้านความปลอดภัยที่ระบุไว้ ช่วยให้พวกเขาสามารถช่วยปกป้องบริษัทของคุณโดยการจัดการฝึกอบรมด้านความปลอดภัยของ AI และคำแนะนำที่ชัดเจนเกี่ยวกับนโยบายการใช้งานที่ยอมรับได้

ผลการวิจัยพบว่าพนักงาน 68 เปอร์เซ็นต์ยอมรับว่าซ่อนการใช้ AI เชิงสร้างสรรค์ไม่ให้นายจ้างของตนเห็น การแสร้งทำเป็นอย่างอื่นจะไม่ทำให้ Four Horsemen ของ AI กำเนิดหายไป แต่ฉันขอแนะนำให้คุณสร้างถนนลาดยางที่ช่วยให้เหล่าทหารม้าสามารถเลี่ยงกองร้อยของคุณได้

หากต้องการเรียนรู้วิธีที่เราสร้างถนนเส้นนั้นที่ Grammarly โปรดตรวจดูเซสชันของฉันที่ Gartner IT Symposium/XPo ประจำปีนี้ในการพูดคุยของฉัน ฉันจะกล่าวถึงกรอบการทำงานโดยละเอียดสำหรับการนำ AI ที่สร้างอย่างปลอดภัยมาใช้เอกสารไวท์เปเปอร์ของเราในหัวข้อนี้จะเผยแพร่ในวันที่ 19 ตุลาคม

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความมุ่งมั่นของ Grammarly ต่อ AI ที่มีความรับผิดชอบ โปรดไปที่ศูนย์ความเชื่อถือ ของเรา