(SeaPRwire) – ยินดีต้อนรับสู่รายการ Eye on AI กับ Sharon Goldman นักข่าวด้าน AI ในฉบับนี้: สมาชิกพรรครีพับบลิกันชั้นนำผลักดันพรรคให้หลีกเลี่ยงการล็อบบี้ด้าน AI มูลค่า 300 ล้านดอลลาร์…การหลอกลวงด้วยโมเดล AI นั้นเก่งมาก…โมเดล AI ใหม่ของ Anthropic ทำให้เกิดความตื่นตัวทั่วโลก.
ในขณะที่ Anthropic Mythos กระตุ้นหัวข้อข่าวใหม่ๆ ในสัปดาห์นี้—ซึ่งเน้นทั้งความสามารถขั้นสูงและความง่ายที่ระบบดังกล่าวสามารถถูกใช้โดยไม่ถูกต้อง—ฉันได้เดินทางไปห้องประชุมที่อยู่ใกล้วอชิงตัน ดี.ซี. ที่นั่นมีกลุ่มผู้ประกอบอาชีพด้านความมั่นคงปลอดภัย AI, ผู้ตั้งมาตรฐาน, และผู้เชี่ยวชาญนโยบายจากหลายภาคสector มารวมตัวเพื่อหาวิธีที่การรักษาความปลอดภัยของ AI ควรจะเป็นอย่างไรจริงๆ.
นอกอุตสาหกรรม ตัวย่อของพวกเขา—SANS, NIST, CoSAI, OWASP—อาจไม่มีความหมายมากนัก แต่ภายในวงการความมั่นคงปลอดภัย พวกเขาช่วยตั้งกฎที่องค์กรทั่วโลกต้องปฏิบัติตาม แต่ปัจจุบันกฎเหล่านั้นกำลังต่อสู้เพื่อทันกับการเปลี่ยนแปลง.
ฉันได้รับเชิญเข้าร่วมการอภิปรายในขณะที่องค์กรกำลังเร่งการผสมผสาน AI เข้ากับทุกอย่าง—ส่งมอบข้อมูลที่ละเอียดอ่อนและขั้นตอนการทำงานที่สำคัญ—แม้ว่าระบบดังกล่าวจะกลายเป็นเป้าหมายที่น่าสนใจมากขึ้นสำหรับฝ่ายศัตรู.
ผู้นำเซสชันคือ Rob van der Veer, ผู้อำนวยการ AI ที่ Software Improvement Group ซึ่งเป็นแพลตฟอร์มซอฟต์แวร์ และผู้ก่อตั้ง AI Exchange ที่ชุมชนความมั่นคงปลอดภัย OWASP. ระบบเช่น Mythos เขากล่าวว่า กำลังเร่งอัตราการค้นหาช่องโหว่—และเปลี่ยนสมดุลไปสู่ฝ่ายผู้โจมตี.
“พวกเขาแสดงให้เห็นว่าข้อบกพร่องในระบบ AI สามารถค้นพบได้เร็วขึ้นและในขนาดใหญ่—บ่อยครั้งก่อนที่นักพัฒนาจะรู้ถึงมัน” เขากล่าว “สิ่งนี้เปลี่ยนสมดุลไปสู่ฝ่ายผู้โจมตีและลดระยะข้อผิดพลาด” จนถึงปัจจุบัน ความกังวลเกี่ยวกับ Mythos ส่วนใหญ่มุ่งเน้นที่ความสามารถของมันและโมเดลที่คล้ายคลึงกันในการค้นหาช่องโหว่ “ซีโร่-เดย์” ในซอฟต์แวร์แบบดั้งเดิม แต่พวกเขายังสามารถค้นพบช่องโหว่ในโมเดล AI และระบบที่องค์กรกำลังนำมาใช้มากขึ้นในองค์กรของตน.
ปัญหาคือส่วนใหญ่ขององค์กรไม่พร้อมที่จะจัดการกับปัญหาความมั่นคงปลอดภัย AI ที่ชัดเจนอยู่แล้วและปัญหาที่กำลังจะมาถึงอย่างใหม่ๆ. มีความต้องการคำแนะนำที่ปฏิบัติได้มากขึ้น—วิธีระบุภัยคุกคามที่เฉพาะเจาะจงกับ AI และวิธีจัดการกับพวกมัน แต่สาขานี้ยังคงกระจัดกระจาย มีกรอบงานที่ทับซ้อนกัน, คำแนะนำที่ขัดแย้งกัน, และมีความตกลงน้อยเกินไปเกี่ยวกับว่าจะเริ่มจากที่ไหน.
วิธีรักษาความปลอดภัยของระบบ AI ยังไม่ชัดเจน
แม้แต่สิ่งพื้นฐานก็ยังไม่ชัดเจน. การวัดว่าระบบ AI มีความปลอดภัยหมายถึงอะไร? มันควรแตกต่างกันอย่างไรตามกรณีการใช้งาน, โครงสร้างพื้นฐาน, หรือเครื่องมือของบุคคลที่สามเทียบกับโมเดลพื้นฐาน? คำแนะนำควรมุ่งเน้นที่ความสามารถ หรือผลลัพธ์?
Gary McGraw ผู้ร่วมก่อตั้ง Berryville Institute of Machine Learning ชี้ให้เห็นช่องว่างหลัก: เกณฑ์มาตรฐานในปัจจุบันมักจะวัดว่าระบบ AI สามารถทำงานด้านความมั่นคงปลอดภัยได้ดีเพียงใด—ไม่ใช่ว่าระบบตัวเองมีความปลอดภัยเพียงใด. บริษัทต้องจำแนกความแตกต่างนี้ไว้เมื่อประเมินเครื่องมือและการป้องกันของตน.
McGraw ได้เตือนมาตั้งแต่ปี 2019 ว่าการรักษาความปลอดภัยของระบบเรียนรู้ของเครื่องจะเป็น “หนึ่งในความยากลำบากด้านไซเบอร์ความมั่นคงปลอดภัยที่กำหนดทศวรรษต่อๆ ไป” ขณะนั้นก็มาถึงแล้ว.
“การประชุมเหล่านี้เป็นวิธีทำให้เราเตือนตัวเองถึงสิ่งพื้นฐาน” เขากล่าว “ขณะที่เราพยายามกำหนดว่าความมั่นคงปลอดภัยของการเรียนรู้ของเครื่องจริงๆ คืออะไร.”
อีกข้อกังวลสำคัญคือไม่มีชุดขีดจำกัดการป้องกันที่ทนทานต่อคำขอที่เป็นอันตรายได้ทั่วโลก กล่าว Apostol Vassilev ผู้ควบคุมทีมวิจัยที่ทำงานเกี่ยวกับความมั่นคงปลอดภัย AI ที่ National Institute of Standards and Technology (NIST) ซึ่งเป็นส่วนหนึ่งของกระทรวงพาณิชย์สหรัฐอเมริกา. “สิ่งนี้หมายความว่าความมั่นคงปลอดภัยของระบบ AI ไม่ใช่ปัญหาที่คงที่—สิ่งที่สามารถแก้ไขครั้งเดียวแล้วจบลง” เขากล่าว. ไม่เหมือนกับช่องโหว่ซอฟต์แวร์แบบดั้งเดิมที่สามารถแก้ไขด้วยการอัปเดต ความมั่นคงปลอดภัยของ AI ต้องใช้วิธีที่มีพลวัตมากขึ้น: อัปเดตขีดจำกัดการป้องกันอย่างต่อเนื่องเพื่อจัดการกับการโจมตีที่รู้จัก, ทำการทดสอบทีมแดงภายในเพื่อค้นหาคำขอที่เป็นอันตรายใหม่ๆ, แก้ไขการป้องกันก่อนที่ผู้โจมตีจะโจมตี, และให้ความสำคัญกับความทนทานเพื่อให้องค์กรสามารถจำกัดผลกระทบและฟื้นฟูได้อย่างรวดเร็วจาก—การโจมตีที่ไม่หลีกเลี่ยงได้.
“ในที่สุด เป้าหมายคือการเข้าถึงสมดุลที่ทำให้ผู้โจมตีพบการโจมตีใหม่ๆ ยากและมีค่าใช้จ่ายสูง” เขาเพิ่มเติม “แต่สิ่งนี้จะเกิดขึ้นได้เฉพาะเมื่อธุรกิจลงทุนในการยอมรับและรักษาท่าทางที่มีพลวัตนี้.”
คล้ายกับการเปลี่ยนผ่านในการรักษาความปลอดภัยของซอฟต์แวร์
อย่างไรก็ตาม ผู้เข้าร่วมประชุมจำนวนมากยังคงมีความมั่นใจว่าอุตสาหกรรมจะทันได้. McGraw กล่าวว่าความมั่นคงปลอดภัยได้ผ่านการเปลี่ยนผ่านแบบนี้มาก่อน เช่น การเติบโตของซอฟต์แวร์ในกลางทศวรรษ 1990. “เราไม่ต้องตกใจเมื่อซอฟต์แวร์บุกรุกโลก” เขากล่าว “ฉันจำได้เมื่อธนาคารตระหนักว่า ‘โอ้พระเจ้า เราเป็นบริษัทซอฟต์แวร์.’”
ในช่วงเวลาเช่นนี้ เรื่องราวที่สื่อโดยบริษัทเช่น Anthropic และ OpenAI อาจเร็วกว่าความเป็นจริง เขาเตือน. “ความมั่นคงปลอดภัยชอบเรื่องราวที่ดีที่มีของเสียที่ลุกเป็นไฟและหน่วยดับเพลิงมาช่วย” เขากล่าว “ฉันยังคงมีความมั่นใจว่าเรากำลังก้าวหน้าสู่การวิศวกรรมความมั่นคงปลอดภัยที่ดีขึ้นเรื่อยๆ. เราสามารถนำสิ่งที่เราเรียนรู้มาใช้กับการเรียนรู้ของเครื่องได้.”
และนั่นคือเหตุผลที่การประชุมประเภทนี้เกี่ยวกับการประสานงานของอุตสาหกรรมมีความสำคัญ กล่าว van der Veer. “การจัดตั้งมาตรฐานและคำแนะนำร่วมกันในโครงการต่างๆ จะลดการกระจัดกระจาย, ปรับปรุงความชัดเจน, และให้ผู้ประกอบอาชีพเส้นทางที่สอดคล้องกันไปข้างหน้า” เขาอธิบาย “มันช่วยให้องค์กรสามารถเคลื่อนไหวได้เร็วโดยไม่สูญเสียการควบคุม.”
ด้วยสิ่งนี้ นี่คือข่าว AI เพิ่มเติม.
Sharon Goldman
sharon.goldman@.com
@sharongoldman
บทความนี้ให้บริการโดยผู้ให้บริการเนื้อหาภายนอก SeaPRwire (https://www.seaprwire.com/) ไม่ได้ให้การรับประกันหรือแถลงการณ์ใดๆ ที่เกี่ยวข้องกับบทความนี้
หมวดหมู่: ข่าวสําคัญ ข่าวประจําวัน
SeaPRwire จัดส่งข่าวประชาสัมพันธ์สดให้กับบริษัทและสถาบัน โดยมียอดการเข้าถึงสื่อกว่า 6,500 แห่ง 86,000 บรรณาธิการและนักข่าว และเดสก์ท็อปอาชีพ 3.5 ล้านเครื่องทั่ว 90 ประเทศ SeaPRwire รองรับการเผยแพร่ข่าวประชาสัมพันธ์เป็นภาษาอังกฤษ เกาหลี ญี่ปุ่น อาหรับ จีนตัวย่อ จีนตัวเต็ม เวียดนาม ไทย อินโดนีเซีย มาเลเซีย เยอรมัน รัสเซีย ฝรั่งเศส สเปน โปรตุเกส และภาษาอื่นๆ