Rapporter

TillstÄndet för AI-sÀkerhet 2025: Viktiga insikter frÄn Ciscos rapport

mm
Published
Updated

Allt fler företag antar AI, och att förstå dess säkerhetsrisker har blivit viktigare än någonsin. AI förändrar branscher och arbetsflöden, men det introducerar också nya säkerhetsutmaningar som organisationer måste hantera. Att skydda AI-system är avgörande för att upprätthålla förtroende, skydda integritet och säkerställa smidiga affärsverksamheter. Den här artikeln sammanfattar de viktigaste insikterna från Ciscos nyliga rapport “Tillståndet för AI-säkerhet 2025”. Den erbjuder en översikt av var AI-säkerheten står idag och vad företag bör överväga för framtiden.

En växande säkerhetsrisk för AI

Om 2024 lärde oss något, så är det att AI-antagandet går snabbare än vad många organisationer kan säkra det. Ciscos rapport påstår att cirka 72% av organisationerna nu använder AI i sina affärsfunktioner, men endast 13% känner sig fullständigt redo att maximera dess potential på ett säkert sätt. Detta gap mellan antagande och beredskap drivs till stor del av säkerhetsproblem, som förblir den främsta barriären för en bredare företagsanvändning av AI. Vad som gör denna situation ännu mer oroande är att AI introducerar nya typer av hot som traditionella cybersäkerhetsmetoder inte är fullständigt utrustade för att hantera. Till skillnad från konventionell cybersäkerhet, som ofta skyddar fasta system, medför AI dynamiska och anpassningsbara hot som är svårare att förutsäga. Rapporten betonar flera nya hot som organisationer bör vara medvetna om:

  • Infrastrukturattacker: AI-infrastruktur har blivit ett primärt mål för angripare. Ett anmärkningsvärt exempel är komprometteringen av NVIDIA:s Container Toolkit, som tillät angripare att komma åt filsystem, köra skadlig kod och eskalera behörigheter. På liknande sätt var Ray, ett öppen källkods-AI-ramverk för GPU-hantering, komprometterat i en av de första verkliga AI-ramverksattackerna. Dessa fall visar hur svagheter i AI-infrastruktur kan påverka många användare och system.
  • Supply Chain-risken: AI:s supply chain-svagheter presenterar ett annat betydande problem. Cirka 60% av organisationerna förlitar sig på öppen källkods-AI-komponenter eller ekosystem. Detta skapar risk eftersom angripare kan kompromettera dessa allmänt använda verktyg. Rapporten nämner en teknik som kallas “Sleepy Pickle“, som tillåter motståndare att manipulera AI-modeller även efter distribution. Detta gör det extremt svårt att upptäcka.
  • AI-specifika attacker: Nya attacktekniker utvecklas snabbt. Metoder som promptinjektion, jailbreak och uttag av träningsdata tillåter angripare att kringgå säkerhetskontroller och komma åt känslig information som finns i träningsdata.

Attackvektorer som riktar sig mot AI-system

Rapporten betonar uppkomsten av attackvektorer som skadliga aktörer använder för att utnyttja svagheter i AI-system. Dessa attacker kan inträffa vid olika stadier av AI-livscykeln, från datainsamling och modellträning till distribution och inferens. Målet är ofta att få AI att bete sig på oväntade sätt, läcka privat data eller utföra skadliga handlingar.

Under de senaste åren har dessa attackmetoder blivit mer avancerade och svårare att upptäcka. Rapporten betonar flera typer av attackvektorer:

  • Jailbreak: Denna teknik innebär att man skapar adversariala promptrar som kringgår en modells säkerhetsåtgärder. Trots förbättringar av AI-försvar visar Ciscos forskning att även enkla jailbreaks fortfarande är effektiva mot avancerade modeller som DeepSeek R1.
  • Indirekt promptinjektion: Till skillnad från direkta attacker innebär denna attackvektor att man manipulerar indata eller kontexten som AI-modellen använder indirekt. Angripare kan tillhandahålla komprometterat källmaterial, som skadliga PDF:er eller webbsidor, vilket får AI att generera oväntade eller skadliga utdata. Dessa attacker är särskilt farliga eftersom de inte kräver direkt åtkomst till AI-systemet, vilket låter angripare kringgå många traditionella försvar.
  • Träningsdatauttag och förgiftning: Ciscos forskare demonstrerade att chatbots kan luras att avslöja delar av sin träningsdata. Detta väcker allvarliga farhågor om dataskydd, immateriella rättigheter och regelefterlevnad. Angripare kan också förgifta träningsdata genom att injicera skadliga indata. Det är alarmerande att förgiftning av bara 0,01% av stora dataset som LAION-400M eller COYO-700M kan påverka modellbeteende, och detta kan göras med en liten budget (cirka 60 USD), vilket gör dessa attacker tillgängliga för många illvilliga aktörer.

Rapporten betonar allvarliga farhågor om den nuvarande situationen för dessa attacker, med forskare som uppnår en 100% framgångsgrad mot avancerade modeller som DeepSeek R1 och Llama 2. Detta avslöjar kritiska säkerhetsvulnerabiliteter och potentiella risker associerade med deras användning. Dessutom identifierar rapporten uppkomsten av nya hot som röstbaserade jailbreaks, som är specifikt utformade för att rikta sig mot multimodala AI-modeller.

Insikter från Ciscos AI-säkerhetsforskning

Ciscos forskningsteam har utvärderat olika aspekter av AI-säkerhet och avslöjat flera viktiga insikter:

  • Algoritmisk jailbreak: Forskare visade att även de bästa AI-modellerna kan luras automatiskt. Med hjälp av en metod som kallas Tree of Attacks with Pruning (TAP) kringgick forskare skyddsåtgärderna på GPT-4 och Llama 2.
  • Risker i finjustering: Många företag finjusterar grundmodeller för att förbättra relevansen för specifika domäner. Forskare fann dock att finjustering kan försvaga de inre säkerhetskontrollerna. Finjusterade versioner var över tre gånger mer sårbara för jailbreak och 22 gånger mer benägna att producera skadligt innehåll än de ursprungliga modellerna.
  • Träningsdatauttag: Ciscos forskare använde en enkel dekompositionsmetod för att lura chatbots att reproducera nyhetsartikelfragment, vilket möjliggör för dem att rekonstruera källorna till materialet. Detta utgör risker för att exponera känslig eller proprietär data.
  • Dataförgiftning: Ciscos team visar hur lätt och billigt det är att förgifta storskaliga webbdataset. För cirka 60 USD lyckades forskarna förgifta 0,01% av dataset som LAION-400M eller COYO-700M. Dessutom betonar de att denna nivå av förgiftning är tillräcklig för att orsaka märkbara förändringar i modellbeteende.

AI:s roll i cyberbrott

AI är inte bara ett mål – det blir också ett verktyg för cyberkriminella. Rapporten påpekar att automatisering och AI-driven social ingenjörskonst har gjort attacker mer effektiva och svårare att upptäcka. Från phishingbedrägerier till röstkloning hjälper AI kriminella att skapa övertygande och personanpassade attacker. Rapporten identifierar också uppkomsten av skadliga AI-verktyg som “DarkGPT“, som är specifikt utformade för att hjälpa cyberkriminella genom att generera phishing-e-postmeddelanden eller utnyttja sårbarheter. Vad som gör dessa verktyg särskilt oroande är deras tillgänglighet. Även lågkvalificerade kriminella kan nu skapa högt personanpassade attacker som undviker traditionella försvar.

Bästa praxis för att säkra AI

Med tanke på den volatila naturen av AI-säkerhet rekommenderar Cisco flera praktiska steg för organisationer:

  1. Hantera risker över hela AI-livscykeln: Det är avgörande att identifiera och minska risker vid varje stadium av AI-livscykeln, från datakällor och modellträning till distribution och övervakning. Detta inkluderar också att säkra tredjepartskomponenter, tillämpa starka skyddsåtgärder och strikt kontrollera åtkomstpunkter.
  2. Använd etablerade cybersäkerhetspraxis: Medan AI är unikt är traditionella cybersäkerhetsbästa praxis fortfarande avgörande. Tekniker som åtkomstkontroll, behörighetsstyrning och dataskydd kan spela en vital roll.
  3. Fokusera på sårbara områden: Organisationer bör fokusera på områden som är mest benägna att bli måltavlor, såsom leverantörskedjor och tredjeparts-AI-applikationer. Genom att förstå var sårbarheterna ligger kan företag implementera mer riktade försvar.
  4. Utbilda och träna anställda: Medan AI-verktyg blir allmännare är det viktigt att utbilda användare om ansvarig AI-användning och riskmedvetenhet. En väl informerad arbetsstyrka hjälper till att minska oavsiktlig dataexponering och missbruk.

Blicka framåt

AI-antagandet kommer att fortsätta växa, och med det kommer säkerhetsriskerna att utvecklas. Regeringar och organisationer över hela världen erkänner dessa utmaningar och börjar bygga policys och regleringar för att vägleda AI-säkerhet. Som Ciscos rapport betonar kommer balansen mellan AI-säkerhet och framsteg att definiera den kommande eran av AI-utveckling och distribution. Organisationer som prioriterar säkerhet tillsammans med innovation kommer att vara bäst utrustade för att hantera utmaningarna och utnyttja de framväxande möjligheterna.

mm

Dr. Tehseen Zia Ă€r en fast anstĂ€lld bitrĂ€dande professor vid COMSATS University Islamabad, med en doktorsexamen i AI frĂ„n Vienna University of Technology, Österrike. Specialiserad pĂ„ artificiell intelligens, maskinlĂ€rning, datavetenskap och datorseende, har han gjort betydande bidrag med publikationer i ansedda vetenskapliga tidskrifter. Dr. Tehseen har ocksĂ„ lett olika industriprojekt som huvudutredare och tjĂ€nstgjort som AI-konsult.