Raporty

Stan bezpieczeństwa AI w 2025 roku: kluczowe wnioski z raportu Cisco

mm
Published
Updated

Wraz ze wzrostem liczby firm, które wdrażają AI, zrozumienie ryzyk związanych z jej bezpieczeństwem stało się bardziej istotne niż kiedykolwiek. AI zmienia branże i procesy biznesowe, ale również wprowadza nowe wyzwania bezpieczeństwa, którym muszą stawić czoła organizacje. Ochrona systemów AI jest niezbędna do utrzymania zaufania, ochrony prywatności i zapewnienia płynnych operacji biznesowych. Artykuł ten podsumowuje kluczowe wnioski z ostatniego raportu Cisco “Stan bezpieczeństwa AI w 2025 roku“. Przedstawia on przegląd stanu bezpieczeństwa AI w dzisiejszych czasach i wskazuje, co firmy powinny wziąć pod uwagę w przyszłości.

Rosnące zagrożenie bezpieczeństwa AI

Jeśli 2024 rok nauczył nas czegoś, to tego, że wdrożenie AI postępuje szybciej, niż wiele organizacji może je zabezpieczyć. Raport Cisco stwierdza, że około 72% organizacji używa AI w swoich funkcjach biznesowych, ale tylko 13% czuje się w pełni przygotowanych do bezpiecznego wykorzystania jej potencjału. Przewaga wdrożenia nad gotowością jest w dużej mierze spowodowana problemami bezpieczeństwa, które pozostają główną barierą dla szerszego wykorzystania AI w przedsiębiorstwach. Co więcej, AI wprowadza nowe rodzaje zagrożeń, których tradycyjne metody bezpieczeństwa nie są w pełni przygotowane do radzenia. W przeciwieństwie do konwencjonalnego bezpieczeństwa, które często chroni statyczne systemy, AI wprowadza dynamiczne i adaptacyjne zagrożenia, których trudniej przewidzieć. Raport wskazuje kilka nowych zagrożeń, o których organizacje powinny wiedzieć:

  • Ataki na infrastrukturę: Infrastruktura AI stała się głównym celem ataków. Przykładem jest kompromitacja narzędzia NVIDIA Container Toolkit, co pozwoliło atakującym na dostęp do systemów plików, uruchomienie kodu złośliwego i eskalację uprawnień. Podobnie, Ray, framework AI dla zarządzania GPU, został skompromitowany w jednym z pierwszych ataków na framework AI. Przykłady te pokazują, jak słabości w infrastrukturze AI mogą wpłynąć na wiele użytkowników i systemów.
  • Ryzyko łańcucha dostaw: Zagrożenia związane z łańcuchem dostaw AI stanowią kolejne poważne zagrożenie. Około 60% organizacji polega na składnikach AI lub ekosystemach open-source. To stwarza ryzyko, ponieważ atakujący mogą skompromitować te powszechnie używane narzędzia. Raport wspomina o technice zwanej “Sleepy Pickle“, która pozwala przeciwnikom na manipulowanie modelami AI nawet po ich dystrybucji. To sprawia, że wykrywanie jest niezwykle trudne.
  • Ataki specyficzne dla AI: Nowe techniki ataków ewoluują szybko. Metody takie jak wstrzyknięcie podpowiedzi, jailbreakowanie i ekstrakcja danych szkoleniowych pozwalają atakującym na ominąć mechanizmy bezpieczeństwa i uzyskać dostęp do wrażliwych informacji zawartych w danych szkoleniowych.

Wektory ataków na systemy AI

Raport wskazuje na pojawienie się wektorów ataków, których atakujący używają do wykorzystania słabości w systemach AI. Ataki te mogą wystąpić na różnych etapach cyklu życia AI, od zbierania danych i szkolenia modeli po wdrożenie i inferencję. Celem jest często spowodowanie, aby AI zachowywało się w niezamierzonych sposób, ujawniło dane prywatne lub wykonało szkodliwe działania.

W ciągu ostatnich lat metody ataków stały się bardziej zaawansowane i trudniejsze do wykrycia. Raport wskazuje kilka rodzajów wektorów ataków:

  • Jailbreakowanie: Ta technika polega na tworzeniu podpowiedzi, które omijają środki bezpieczeństwa modelu. Pomimo udoskonaleń w obronie AI, badania Cisco pokazują, że nawet proste jailbreaki pozostają skuteczne przeciwko zaawansowanym modelom, takim jak DeepSeek R1.
  • Wstrzyknięcie podpowiedzi pośrednie: W przeciwieństwie do ataków bezpośrednich, ten wektor ataku polega na manipulowaniu danymi wejściowymi lub kontekstem, w którym model AI jest używany pośrednio. Atakujący mogą dostarczyć skompromitowane materiały źródłowe, takie jak złośliwe pliki PDF lub strony internetowe, powodując, że AI generuje niezamierzone lub szkodliwe dane wyjściowe. Ataki te są szczególnie niebezpieczne, ponieważ nie wymagają bezpośredniego dostępu do systemu AI, pozwalając atakującym ominąć wiele tradycyjnych obron.
  • Ekstrakcja i zatrucie danych szkoleniowych: Badacze Cisco udowodnili, że chatboty mogą być oszukane, aby ujawnić części swoich danych szkoleniowych. To podnosi poważne obawy dotyczące prywatności danych, własności intelektualnej i zgodności. Atakujący mogą również zatruć dane szkoleniowe, wstrzykując dane złośliwe. Co więcej, zatrucie tylko 0,01% dużych zbiorów danych, takich jak LAION-400M lub COYO-700M, może wpłynąć na zachowanie modelu, a to może być zrobione za niewielką kwotę (około 60 USD), co sprawia, że ataki te są dostępne dla wielu złych aktorów.

Raport wskazuje poważne obawy dotyczące stanu tych ataków, z badaczami, którzy osiągnęli 100% wskaźnik sukcesu przeciwko zaawansowanym modelom, takim jak DeepSeek R1 i Llama 2. To ujawnia krytyczne słabości bezpieczeństwa i potencjalne ryzyka związane z ich użyciem. Dodatkowo raport identyfikuje pojawienie się nowych zagrożeń, takich jak ataki jailbreakowe oparte na dźwięku, które są specjalnie zaprojektowane do atakowania modeli AI wielomodalnych.

Wyniki badań bezpieczeństwa AI Cisco

Zespół badawczy Cisco ocenił różne aspekty bezpieczeństwa AI i ujawnił kilka kluczowych wniosków:

  • Jailbreakowanie algorytmiczne: Badacze pokazali, że nawet najlepsze modele AI mogą być oszukane automatycznie. Używając metody zwanej Tree of Attacks with Pruning (TAP), badacze ominęli zabezpieczenia na GPT-4 i Llama 2.
  • Ryzyko w dostrajaniu: Wiele firm dostraja modele podstawowe, aby poprawić ich przydatność dla konkretnych dziedzin. Jednak badacze odkryli, że dostrajanie może osłabić wewnętrzne zabezpieczenia. Wersje dostrajane były ponad trzykrotnie bardziej narażone na jailbreakowanie i 22-krotnie bardziej prawdopodobne do generowania szkodliwych treści niż oryginalne modele.
  • Ekstrakcja danych szkoleniowych: Badacze Cisco użyli prostej metody dekompozycji, aby oszukać chatboty i spowodować, że odtworzą fragmenty artykułów, co umożliwia im odtworzenie źródeł materiału. To stwarza ryzyko dla ujawnienia wrażliwych lub zastrzeżonych danych.
  • Zatrucie danych: Zespół Cisco udowodnił, jak łatwo i tanio jest zatruć duże zbiory danych internetowych. Za około 60 USD badacze zatruli 0,01% zbiorów danych, takich jak LAION-400M lub COYO-700M. Co więcej, podkreślają, że poziom zatrucia jest wystarczający, aby spowodować zauważalne zmiany w zachowaniu modelu.

Rola AI w cyberprzestępczości

AI nie jest tylko celem ataków – staje się również narzędziem dla cyberprzestępców. Raport wskazuje, że automatyzacja i inżynieria społeczna oparta na AI sprawiły, że ataki stały się bardziej skuteczne i trudniejsze do wykrycia. Od oszustw phishingowych po klonowanie głosów, AI pomaga przestępcom tworzyć przekonywujące i personalizowane ataki. Raport identyfikuje również pojawienie się złośliwych narzędzi AI, takich jak “DarkGPT“, zaprojektowanych specjalnie do pomocy w cyberprzestępczości przez generowanie e-maili phishingowych lub wykorzystywanie słabości. Co więcej, te narzędzia są szczególnie niepokojące, ponieważ są dostępne nawet dla słabo wykwalifikowanych przestępców, którzy mogą tworzyć highly personalizowane ataki, które omijają tradycyjne obrony.

Najlepsze praktyki zabezpieczania AI

Biorąc pod uwagę dynamiczną naturę bezpieczeństwa AI, Cisco zaleca kilka praktycznych kroków dla organizacji:

  1. Zarządzanie ryzykiem na całym cyklu życia AI: Jest to kluczowe, aby zidentyfikować i zmniejszyć ryzyko na każdym etapie cyklu życia AI, od pozyskiwania danych i szkolenia modeli po wdrożenie i monitorowanie. To obejmuje również zabezpieczanie składników zewnętrznych, stosowanie silnych zabezpieczeń i ściśle kontrolowanie punktów dostępu.
  2. Używanie uznanych praktyk bezpieczeństwa: Chociaż AI jest unikalna, tradycyjne praktyki bezpieczeństwa są nadal istotne. Techniki takie jak kontrola dostępu, zarządzanie uprawnieniami i prewencja utraty danych mogą odegrać ważną rolę.
  3. Koncentracja na obszarach wrażliwych: Organizacje powinny koncentrować się na obszarach, które są najbardziej prawdopodobne do ataku, takich jak łańcuchy dostaw i aplikacje AI zewnętrzne. Poprzez zrozumienie, gdzie leżą słabości, firmy mogą wdrożyć bardziej ukierunkowane obrony.
  4. Edukacja i szkolenie pracowników: W miarę jak narzędzia AI stają się powszechne, ważne jest, aby szkolić użytkowników w zakresie odpowiedzialnego użycia AI i świadomości ryzyka. Dobrze poinformowana załoga pomaga zmniejszyć przypadkowe ujawnienie danych i nadużycie.

Spójrzmy w przyszłość

Wdrożenie AI będzie nadal rosło, a wraz z nim rozwijać się będą ryzyka bezpieczeństwa. Rządy i organizacje na całym świecie uznają te wyzwania i zaczną tworzyć polityki i regulacje, aby zapewnić bezpieczeństwo AI. Jak podkreśla raport Cisco, równowaga między bezpieczeństwem AI a postępem będzie definiować następną erę rozwoju i wdrożenia AI. Organizacje, które priorytetowo traktują bezpieczeństwo obok innowacji, będą najlepiej przygotowane do radzenia sobie z wyzwaniami i wykorzystywania nowych możliwości. Polityki i regulacje, które będą kierować bezpieczeństwem AI, będą definiować następną erę rozwoju i wdrożenia AI. Organizacje, które priorytetowo traktują bezpieczeństwo obok innowacji, będą najlepiej przygotowane do radzenia sobie z wyzwaniami i wykorzystywania nowych możliwości.

mm

Dr. Tehseen Zia jest profesorem nadzwyczajnym w COMSATS University Islamabad, posiada tytuł doktora w dziedzinie sztucznej inteligencji na Vienna University of Technology, Austria. Specjalizując się w sztucznej inteligencji, uczeniu maszynowym, nauce o danych i widzeniu komputerowym, wniósł znaczący wkład poprzez publikacje w renomowanych czasopismach naukowych. Dr. Tehseen Zia również kierował różnymi projektami przemysłowymi jako główny badacz i pełnił funkcję konsultanta ds. sztucznej inteligencji.