Rapporter

Tilstanden for AI-sikkerhet i 2025: Nøkkelinnsikt fra Cisco-rapporten

mm
Published
Updated

Ettersom flere bedrifter adopterer AI, har det blitt viktigere å forstå sikkerhetsrisikoene. AI former om industrier og arbeidsflyter, men det introduserer også nye sikkerhetsutfordringer som organisasjonene må håndtere. Å beskytte AI-systemer er essensielt for å opprettholde tillit, beskytte personvern og sikre jevne forretningsoperasjoner. Denne artikkelen summerer nøkkelinnsiktene fra Cisco’s nylige “Tilstanden for AI-sikkerhet i 2025“-rapport. Den gir en oversikt over hvor AI-sikkerheten står i dag og hva bedrifter bør vurdere for fremtiden.

En økende sikkerhetstrussel mot AI

Hvis 2024 lærte oss noe, er det at AI-adoptsjonen går raskere enn mange organisasjoner kan sikre den. Cisco’s rapport fastslår at omtrent 72% av organisasjonene nå bruker AI i sine forretningsfunksjoner, men bare 13% føler seg fullstendig klare til å maksimere dens potensial på en trygg måte. Gapet mellom adopsjon og beredskap skyldes i stor grad sikkerhetsbekymringer, som forblir den viktigste barrieren for en videre bruk av AI i bedriftene. Det som gjør denne situasjonen enda mer bekymringsverdig er at AI introduserer nye typer trusler som tradisjonelle sikkerhetsmetoder ikke er fullstendig utstyrt til å håndtere. I motsetning til konvensjonell sikkerhet, som ofte beskytter faste systemer, bringer AI dynamiske og adaptive trusler som er vanskeligere å forutsi. Rapporten fremhever flere nye trusler som organisasjonene bør være klar over:

  • Infrastrukturangrep: AI-infrastrukturen har blitt et primært mål for angripere. Et bemerkelsesverdig eksempel er kompromitteringen av NVIDIA’s Container Toolkit, som tillot angripere å få tilgang til filsystemer, kjøre skadelig kode og eskalere privilegier. Liknende var Ray, en åpen kildekode AI-ramme for GPU-håndtering, kompromittert i ett av de første virkelige AI-rammeangrepene. Disse tilfellene viser hvordan svakheter i AI-infrastrukturen kan påvirke mange brukere og systemer.
  • Supply Chain-risiko: AI-supply chain-svakheter presenterer en annen betydelig bekymring. Rundt 60% av organisasjonene avhenger av åpne kildekode AI-komponenter eller økosystemer. Dette skaper risiko siden angripere kan kompromittere disse vidt brukte verktøyene. Rapporten nevner en teknikk kalt “Sleepy Pickle“, som tillater motstanderne å manipulere AI-modeller selv etter distribusjon. Dette gjør det ekstremt vanskelig å oppdage.
  • AI-spesifikke angrep: Nye angrepsmetoder utvikler seg raskt. Metoder som promptinjeksjon, jailbreaking og treningdata-ekstraksjon tillater angripere å omgå sikkerhetskontroller og få tilgang til sensitive opplysninger innholdt i treningssammenlinger.

Angrepsvektorer som målretter AI-systemer

Rapporten fremhever oppblomstringen av angrepsvektorer som malisøse aktører bruker for å utnytte svakheter i AI-systemer. Disse angrepene kan skje på ulike stadier av AI-livssyklusen, fra datainnsamling og modelltrening til distribusjon og inferens. Målet er ofte å få AI til å oppføre seg på uventede måter, lekke private data eller utføre skadelige handlinger.

Over de siste årene har disse angrepsmetodene blitt mer avanserte og vanskeligere å oppdage. Rapporten fremhever flere typer angrepsvektorer:

  • Jailbreaking: Denne teknikken involverer å lage motstridende promter som omgår modellens sikkerhetstiltak. Til tross for forbedringer i AI-forsvar, viser Cisco’s forskning at selv enkle jailbreaks fortsatt er effektive mot avanserte modeller som DeepSeek R1.
  • Indirekte promptinjeksjon: I motsetning til direkte angrep, involverer denne angrepsvektoren å manipulere inndata eller konteksten AI-modellen bruker indirekte. Angripere kan levere kompromittert kildemateriale som skadelige PDF-er eller nettsider, som får AI til å generere uventede eller skadelige utdata. Disse angrepene er spesielt farlige fordi de ikke krever direkte tilgang til AI-systemet, og lar angriperne omgå mange tradisjonelle forsvar.
  • Treningdata-ekstraksjon og forgiftning: Cisco’s forskere demonstrerte at chatboter kan bli lurt til å avsløre deler av deres treningssammenlinger. Dette reiser alvorlige bekymringer om datapersonvern, immaterielle rettigheter og overholdelse. Angripere kan også forgifte treningssammenlinger ved å injisere skadelige inndata. Forferdelig, forgiftning av bare 0,01% av store datasammenlinger som LAION-400M eller COYO-700M kan påvirke modellatferd, og dette kan gjøres med en liten budsjett (rundt 60 USD), noe som gjør disse angrepene tilgjengelige for mange dårlige aktører.

Rapporten fremhever alvorlige bekymringer om den nåværende tilstanden for disse angrepene, med forskere som oppnår en 100% suksessrate mot avanserte modeller som DeepSeek R1 og Llama 2. Dette avslører kritiske sikkerhetssvakheter og potensielle risikoer forbundet med deres bruk. I tillegg identifiserer rapporten oppblomstringen av nye trusler som lydbaserte jailbreak-angrep som er spesifikt designet for å målrette multimodale AI-modeller.

Funn fra Cisco’s AI-sikkerhetsforskning

Cisco’s forskningsteam har evaluert ulike aspekter av AI-sikkerhet og avdekket flere nøkkel funn:

  • Algoritme-jailbreaking: Forskerne viste at selv de beste AI-modellene kan bli lurt automatisk. Ved å bruke en metode kalt Tree of Attacks with Pruning (TAP), omgikk forskerne sikkerhetstiltakene på GPT-4 og Llama 2.
  • Risikoer i finjustering: Mange bedrifter finjusterer grunnmodeller for å forbedre relevansen for bestemte domener. Imidlertid fant forskerne at finjustering kan svekke interne sikkerhetsskjermer. Finjusterte versjoner var over tre ganger mer sårbare for jailbreaking og 22 ganger mer sannsynlig å produsere skadelig innhold enn de originale modellene.
  • Treningdata-ekstraksjon: Cisco-forskerne brukte en enkel dekomposisjonsmetode for å lure chatboter til å gjengi nyhetsartikkel-fragmenter som gjør det mulig for dem å rekonstruere kilder for materialet. Dette utgjør en risiko for å avsløre sensitive eller proprietære data.
  • Data-forgiftning: Data-forgiftning: Cisco’s team demonstrerer hvor enkelt og billig det er å forgifte store webdatasammenlinger. For omtrent 60 USD klarte forskerne å forgifte 0,01% av datasammenlinger som LAION-400M eller COYO-700M. I tillegg fremhever de at dette nivået av forgiftning er nok til å forårsake merkbar endringer i modellatferd.

AI’s rolle i cyberkriminalitet

AI er ikke bare et mål – det blir også et verktøy for cyberkriminelle. Rapporten bemerker at automatisering og AI-drevet sosial ingenjørkunst har gjort angrepene mer effektive og vanskeligere å oppdage. Fra phishing-svindel til stemme-kloning, hjelper AI kriminelle å lage overbevisende og personlige angrep. Rapporten identifiserer også oppblomstringen av skadelige AI-verktøy som “DarkGPT“, som er designet spesifikt for å hjelpe cyberkriminalitet ved å generere phishing-e-poster eller utnytte svakheter. Det som gjør disse verktøyene spesielt bekymringsverdige er deres tilgjengelighet. Selv lav-erfarne kriminelle kan nå lage høyt personlige angrep som unngår tradisjonelle forsvar.

Beste praksis for å sikre AI

Gitt den volatile naturen til AI-sikkerhet, anbefaler Cisco flere praktiske skritt for organisasjoner:

  1. Styr risiko over hele AI-livssyklusen: Det er avgjørende å identifisere og redusere risikoer på hvert stadium av AI-livssyklusen, fra datasourcing og modelltrening til distribusjon og overvåking. Dette inkluderer også å sikre tredjeparts-komponenter, anvende sterke sikkerhetsskjermer og tett kontrollere tilgangspunkter.
  2. Bruk etablerte sikkerhetspraksiser: Mens AI er unikt, er tradisjonelle sikkerhetspraksiser fortsatt essensielle. Teknikker som tilgangskontroll, tillatelsesstyring og datatap kan spille en vital rolle.
  3. Fokus på sårbare områder: Organisasjoner bør fokusere på områder som er mest sannsynlig å bli målrettede, som forsyningkjeder og tredjeparts AI-applikasjoner. Ved å forstå hvor svakhetene ligger, kan bedrifter implementere mer målrettede forsvar.
  4. Utdann og trene ansatte: Ettersom AI-verktøy blir mer utbredt, er det viktig å trene brukerne på ansvarlig AI-bruk og risikobevisthet. En velinformert arbeidsstyrke hjelper med å redusere utilsiktet data-eksponering og misbruk.

Se fremover

AI-adoptsjonen vil fortsette å vokse, og med den, sikkerhetsrisikoene vil utvikle seg. Regjeringer og organisasjoner over hele verden erkjenner disse utfordringene og begynner å bygge politikker og reguleringer for å veilede AI-sikkerhet. Som Cisco’s rapport fremhever, vil balansen mellom AI-sikkerhet og fremgang definere den neste æraen av AI-utvikling og distribusjon. Organisasjoner som prioriterer sikkerhet sammen med innovasjon, vil være best utrustet til å håndtere utfordringene og gripe nye muligheter.

mm

Dr. Tehseen Zia er en fast ansatt associate professor ved COMSATS University Islamabad, med en PhD i AI fra Vienna University of Technology, Østerrike. Som spesialist i kunstig intelligens, maskinlæring, datavitenskap og datavisjon, har han gjort betydelige bidrag med publikasjoner i anerkjente vitenskapelige tidsskrifter. Dr. Tehseen har også ledet flere industriprosjekter som hovedundersøker og tjenestegjort som AI-konsulent.