Ajatusjohtajat

Piilotettu uhka: AI-välittäjien turvallisuusmalli on uudelleen arvioitava

mm
Published
Updated

Agenteerisen älykkään järjestelmän (Agentic AI) käyttö on yleistynyt viime vuoden aikana. Niitä käytetään useisiin tehtäviin, kuten käyttäjien todennukseen, pääomien siirtoon, prosessien käynnistämiseen ja yhteistyöhön eri yritysalueilla minimoiden ihmisen valvontaa.

Hiljainen ongelma on kuitenkin syntynyt autonomian lisääntyessä, ei niinkään ohjelmistotasolla, vaan infrastruktuurin luottamuksellisuuden tasolla. Agenteeriset järjestelmät saavat sisäpiirin valtuudet, mutta ne toimivat edelleen laskentaympäristöissä, jotka eivät ole suunniteltu suojelemaan autonomisia päätöksentekijöitä infrastruktuurilta.

Perinteinen turvallisuus olettaa, että ohjelmisto on passiivinen, mutta agenteeriset järjestelmät eivät ole. Ne päättävät, muistavat ja toimivat jatkuvasti, autonomisesti ja valtuutetusti.

Lisäksi AI-välittäjillä on todennäköisesti pääsy henkilökohtaiseen tietoon, kuten sähköposteihin ja puheluiden tallenteisiin, riippuen käyttötapauksesta.

Lisäksi, vaikka laitteistopohjaiset suojaukset, kuten luottamukselliset virtuaalikoneet ja turvalliset lohkot, ovat olemassa, ne eivät ole vielä useimpien agenteeristen AI-järjestelmien perussuojauksia. Tämän seurauksena monet agentit suorittavat edelleen ympäristöissä, joissa arkaluontoista tietoa on altis infrastruktuurille suoritusaikana.

Agentit ovat sisäpiiriläisiä, eivät työkaluja

Turvallisuustiimit tietävät jo, kuinka haastavaa on sisäpiirin uhkien torjunta, ongelma, josta Verizonin vuoden 2025 tietoturvaraportti korostaa, jossa järjestelmän hyökkäys oli yli 53 % vahvistetuista rikkomisista edellisvuonna. 22 % näistä tapauksista hyökkääjät käyttivät varastettuja tunnistetietoja päästäkseen sisään, mikä korostaa, kuinka usein he onnistuvat käyttämällä legitimejä identiteettejä teknisten virheiden sijaan.

Kun otetaan huomioon agentti, joka koostuu ohjelmointilogiikasta, työkaluista ja laajennuksista, tunnistetiedoista sekä käytännöistä, se ei ainoastaan suorita koodia ja selaile verkkoa, vaan se voi myös kysyä asiakasrekisterien tietoja, lukea sähköposteja ja siirtää liput, monien muiden asioiden ohella. Mitä yhdistelmä toimintoja on tuonut on perinteiset hyökkäyspinnat moderniin käyttöliittymään.

Tällaisen sisäpiirin uhkan vaara ei ole spekulatiivinen. Avoin verkkosovelluksen turvallisuushanke (OWASP) listaa nyt ”Prompt Injection” kriittisenä haavoittuvuutena LLM-sovelluksille, korostaen sen erityistä vaaraa agenteerisille järjestelmille, jotka ketjuttavat toimintoja. Microsoftin uhkien tuntemisen tiimi on myös julkaissut neuvontaa, jossa varoitetaan, että AI-järjestelmät, joilla on työkalujen pääsy, voidaan kaapata tietojen varastamiseen, jos varmistus ei ole arkkitehtonisesti toteutettu.

Nämä raportit muistuttavat ajankohtaisesti, että agentit, joilla on legitimejä pääsyjä järjestelmiin ja tietoihin, voidaan kääntää omistajiaan vastaan. Vaikka riskikenttä agenteerisille järjestelmille ei ole yhtenäinen, sovelluskerroksen uhkat, kuten prompt-injektiot ja työkalujen väärinkäyttö, johtuvat mallin kyvyttömyydestä erottaa luotettavat ohjeet luotettavasta käyttäjän syötetestä, suunnittelurajoituksesta, jota ei voi korjata muistin lujittamisella.

Toinen ja yhtä tärkeä ongelma on olemassa infrastruktuuritasolla: jotkut agentit suorittavat salattomassa muistissa, mikä tarkoittaa, että arkaluontoista tietoa, kuten chat-historiaa, API-vastauksia ja asiakirjoja, voidaan nähdä suoritusaikana ja ne voivat jäädä saataville myöhemmin. OWASP tunnistaa tämän riskin Sensitive Information Disclosure (LLM02) ja System Prompt Leakage (LLM07) ja ehdottaa kontekstin eristystä, nimitilan segmentointia ja muistin hiekkalaatikkoa tärkeinä turvallisuusmittauksina.

Käyttäjien ei pidä kohdella näitä agenteja vain sovelluksina, koska ne ovat dynaamisia, päättäviä suorittajia, jotka vaativat turvallisuusmallia, joka ottaa huomioon niiden yksilöllisen luonteen epä-ihmisenä toimijoina. Tähän lähestymistapaan kuuluu sekä ohjelmistolliset valvontatoimet, jotka rajoittavat mallin toimintaa, että laitteistopuolen suojaukset, jotka pitävät tiedot turvassa niiden käytön aikana.

Luottamuksellisuuden arkkitehtuuri on kriittinen virhe

Nykyiset turvallisuuskäytännöt keskittyvät tietojen suojaamiseen levossa ja siirrossa. Viimeinen raja, tietoja käytettäessä, on melkein täysin altis. Kun AI-agentti päättää luottamuksellisen tietojoukon yli lainan hyväksymiseksi, potilastietojen analyysiksi tai kaupan suorittamiseksi, tiedot on yleensä salattu ja käsitelty selkeässä muodossa palvelimen muistissa.

Standardien pilvimalleissa kuka tahansa, jolla on riittävä valta infrastruktuuriin, mukaan lukien hypervisor-hallinnan ja co-tenant-hyökkääjät, voi potentiaalisesti tarkastella, mitä tapahtuu, kun työkuorma suoritetaan. AI-agenteille tämä altis on erityisen vaarallista, koska heidän on pääsyä arkaluontoiseen tietoon tehdäkseen työnsä, mikä voi potentiaalisesti muodostua hyökkäyspinnaksi.

Lumia Security demonstroi, että hyökkääjät, joilla on pääsy paikalliseen koneeseen, voivat hankkia JWT-tunnisteet ja istuntoavaimet suoraan ChatGPT-, Claude- ja Copilot-työpöytäsovellusten prosessin muistista. Nämä varastetut tunnistetiedot voivat antaa heille pääsyn toisen käyttäjän näkymään, varastaa keskusteluhistorian ja injektoida ohjeita meneillään oleviin istuntoihin, jotka voivat muuttaa agentin käyttäytymistä tai istuttaa virheellisiä muistoja.

Esimerkki tästä on AWS CodeBuildin muistivuodon tapaus heinäkuussa 2025. Hyökkääjät lisäsivät salaa koodia projektiin, ja kun järjestelmä suoritti sen, koodi tarkasteli tietokoneen muistia ja varasti piilotetut kirjautumistunnisteet, jotka olivat siellä tallennettuina. Noiden tunnisteiden avulla hyökkääjät voivat muuttaa projektin koodia ja potentiaalisesti päästä muihin järjestelmiin.

Rahoituslaitoksille hiljainen manipulointi on olemassaolokysymys. Pankit, vakuutusyhtiöt ja sijoitusyhtiöt ottavat jo nyt vastaan keskimäärin yli 10 miljoonan dollarin tietoturvloukkauksen kustannukset, ja he ymmärtävät, että eheys on yhtä tärkeää kuin luottamuksellisuus. Viimeisimmän Informatican raportin mukaan ”luottamuksellisuuden paradoksi” selitettiin seuraavasti: organisaatiot käyttävät autonomisia agenteja nopeammin kuin he voivat vahvistaa niiden tuloksia. Tuloksena on automaatio, joka voi kiinnittää virheitä tai harhaa suoraan perusprosesseihin, toimien koneen nopeudella.

Luottamuksellinen laskenta ja eristämisen tapaus

Askelliset korjaukset eivät ratkaise ongelmaa, vaikka tiukemmat pääsyoikeudet ja parempi valvonta voivat auttaa. Kumpikaan ei kuitenkaan voi muuttaa perusongelmaa. Ongelma on arkkitehtoninen, ja niin kauan kuin laskenta tapahtuu altisessa muistissa, agentit ovat haavoittuvia silloin, kun ne ovat tärkeimmillään, eli päättäessä.

Luottamuksellinen laskenta, jota määrittelee Luottamuksellisen laskennan konsortio (CCC) datan suojaamisena käytössä laitteistopohjaisilla luotettavilla suorituympäristöillä (TEEs), koskee suoraan perusvirhettä.

AI-agenteille tämä laitteistotasoinen eristäminen on muodonmuuttavaa, koska se mahdollistaa agentin identiteettitunnisteiden, mallipainojen, omistajien ohjeiden ja käsiteltävän arkaluontoisen käyttäjätiedon pysymisen salattuna, ei ainoastaan levyllä tai verkon yli, vaan myös aktiivisesti muistissa suoritusaikana. Ero selvästi murtuu perinteiseen malliin, jossa infrastruktuurin hallinta takaa kuormituksen hallinnan.

Etäinen todennus tarjoaa verifioitavissa olevan kryptografisen todisteen siitä, että tietty päätöslausel suoritettiin laitteistopohjaisessa luotetussa suorituympäristössä, olipa se prosessori tai grafiikkaprosessori. Todiste luodaan laitteiston mittauksista ja toimitetaan yhdessä vastauksen kanssa, mahdollistaen riippumattoman verifioinnin siitä, missä ja miten kuorma suoritettiin.

Todennusrekisteröinti ei paljasta suoritettavaa koodia. Sen sijaan jokainen kuorma on liitetty yhteenomaiseen kuorman tunnisteeseen tai transaktiotunnisteeseen, ja TEE:n todennusrekisteröinti on liitetty tähän tunnisteeseen. Todennus vahvistaa, että laskenta suoritettiin luotetussa ympäristössä ilman sisällön paljastamista.

Asettelma luo uuden perustan noudattamiselle ja auditoinnille, mahdollistaen agentin toimien linkittämisen tiettyyn ohjelmaversioon, joka on todennettu ja tunnettuun joukkoon syöteaineistoa.

Kohti vastuullista autonomiaa

Yllä kuvatun järjestelmän vaikutukset ulottuvat perusturvallisuuden ulkopuolelle. Tarkastellaan lakeja, jotka ohjaavat rahoitusta, terveydenhuoltoa ja henkilökohtaista tietoa. Monet viranomaiset soveltavat tietosuvereniteetin sääntöjä, jotka rajoittavat, missä tietoja voidaan käsitellä. Kiinassa henkilökohtaisten tietojen suojaamislaissa ja tietoturvalaissa vaaditaan, että tiettyjen tietojen luokkien, kuten tärkeiden henkilökohtaisten tietojen, on oltava tallennettuina kotimaassa ja tarkastettu ennen siirtämistä ulkomaille.

Vastaavasti useat Persianlahden maat, kuten UAE ja Saudi-Arabia, ottivat vastaavan lähestymistavan, erityisesti rahoitus-, hallitus- ja kriittisten infrastruktuuritietojen osalta.

Luottamuksellinen laskenta voi vahvistaa turvallisuutta ja noudattamista suojaamalla tietoja niiden käytön aikana ja mahdollistaen suoritusaikaisen ympäristön todennuksen. Se ei kuitenkaan muuta, missä prosessointi tapahtuu. Missä tietosuvereniteetin säännöt vaativat paikallista prosessointia tai asettavat ehtoja rajat ylittävälle siirrolle, luotetut suorituympäristöt voivat tukea noudattamisen valvontaa, eivät korvaa lakirajoituksia.

Lisäksi luottamuksellinen laskenta mahdollistaa turvallisen yhteistyön moniagenttijärjestelmissä, joissa agentit eri organisaatioista tai eri osastoista usein tarvitsevat tietojen jakamista tai tulosten vahvistamista ilman arkaluontoisen tiedon paljastamista.

Ja kun tämä teknologia yhdistetään nollaturvallisuusarkkitehtuuriin, lopputulos on paljon vahvempi perusta. Nollaturvallisuus validoi jatkuvasti identiteetin ja pääsyn, kun taas luottamuksellinen laskenta suojaa laitteiston muistia luvattomalta poisimiseltiltä ja estää arkaluontoisen tiedon palautumisen selkeässä muodossa.

Yhdessä ne puolustavat sitä, mitä todella on tärkeää, kuten päätöksenteon logiikkaa, arkaluontoisia syöteaineistoja ja kryptografisia avaimia, jotka valtuuttavat toiminnan.

Uusi perusta autonomisille järjestelmille

Jos jokainen vuorovaikutus asettaa ihmiset alttiiksi paljastumiselle, he eivät anna AI:n käsitellä asioita, kuten terveydenhuollon tietoja tai tehdä taloudellisia päätöksiä. Vastaavasti yritykset eivät automatisoi tärkeimpiä tehtäviään, jos se voisi johtaa sääntelyongelmiin tai tärkeän tiedon menetykseen.

Vakavat kehittäjät tunnustavat, että sovelluskerroksen korjaukset yksin eivät ole riittäviä korkean varmuuden ympäristöissä.

Kun agenteille annetaan taloudellinen valta, säädelty tieto tai organisaatioiden välinen koordinointi, infrastruktuurin altis muodostuu enemmän kuin teoreettinen huolenaihe. Ja ilman luottamuksellista suoritusta näissä yhteyksissä monet agentit ovat edelleen pehmeä kohde, joiden avaimet voidaan varastaa ja logiikka on muokattavissa. Nykyaikaisen tietoturvloukkauksen koko osoittaa, mihin tämä polku johtaa.

Yksityisyys ja eheys eivät ole vapaaehtoisia ominaisuuksia, jotka voidaan lisätä käyttöön ottamisen jälkeen. Ne on suunniteltava piirilevytasolla. Siksi agenteerisen AI:n turvalliseen skaalautumiseen laitteistopohjainen luottamuksellisuus ei voida ajatella ainoastaan kilpailuedulla, vaan perustasolla.

mm

Ahmad Shadid on O Foundationin perustaja, joka on Sveitsissä toimiva tekoälytutkimuslaitos, joka keskittyy yksityisen tekoälyinfrastruktuurin rakentamiseen ja tutkimiseen, o.capital, joka on Nasdaqissa kaupankäyvä kvanttirahasto, ja io.netin perustaja ja entinen toimitusjohtaja, joka on tällä hetkellä suurin Solana-pohjainen hajautettu tekoälylaskeleinfrastruktuuriverkko.