Звіти

Звіт маніфесту розкриває розрив у готовності штучного інтелекту, оскільки команди з безпеки підприємств борються з прозорістю та управлінням

mm
Published
Updated

Новий звіт від Manifest, “Поза чорною скринькою: Як штучний інтелект змушує переосмислити ланцюг постачання програмного забезпечення”, розкриває зростаючий розрив між впевненістю керівників і операційною реальністю щодо готовності до безпеки штучного інтелекту. На основі опитування понад 300 керівників та фахівців з безпеки у США та Європі, дослідження виявило, що хоча більшість керівників вважає, що їх організації готові до ризиків ланцюга постачання, пов’язаних зі штучним інтелектом, команди з безпеки на місцях повідомляють про значні пробіли в управлінні, використання “тіньового” штучного інтелекту та обмежену прозорість щодо компонентів, що живлять сучасні системи програмного забезпечення.

Виявлені дані підкреслюють центральну напруженість, що виникає в технологіях підприємств: впровадження штучного інтелекту прискорюється по всім продуктам та робочим процесам, але механізми, необхідні для відстеження, управління та забезпечення безпеки цих систем, не поспішають за цим темпом.

Штучний інтелект знову створює проблеми безпеки ланцюга постачання в нових формах

Більше десяти років організації працюють над покращенням безпеки ланцюга постачання програмного забезпечення шляхом відстеження залежностей, моніторингу уразливостей та встановлення кадрів управління. Однак звіт Manifest стверджує, що штучний інтелект фактично знову вводить багато з тих самих ризиків – тепер поширених на моделі, набори даних, агентів та послуги штучного інтелекту третьої сторони.

Компоненти штучного інтелекту часто працюють як непрозорі системи. Підприємства часто не можуть повністю пояснити, як були треновані моделі, які набори даних були використані або які зовнішні послуги вкладені у свої програми. В результаті організації стикаються з новим класом ризиків ланцюга постачання: програмні системи, які вони не можуть надійно інспектувати, верифікувати або моніторити з часом.

У звіті підкреслюється, що прозорість вже втрачається. 63% організацій повідомляють про присутність “тіньового штучного інтелекту”, що означає інструменти або інтеграції штучного інтелекту, прийняті без нагляду команд з безпеки, закупівель або управління ризиками.

Даніель Бардштейн, генеральний директор і співзасновник Manifest, сказав, що дані показують розрив між впевненістю керівників і операційною реальністю: “Впевненість керівників у готовності штучного інтелекту не відповідає тому, з чим команди з безпеки мають справу щодня. Керівники вважають, що управління є на місці, але практики бачать неконтрольоване використання штучного інтелекту, невиразне володіння та сліпі плями в тому, що фактично працює в продуктах і постачальниках”.

Керівники кажуть, що вони готові, команди з безпеки не погоджуються

Одним з найбільш вражаючих висновків у звіті є розбіжність між впевненістю керівників і оцінками команд з безпеки.

Практично 80% керівників з безпеки кажуть, що їх організації мають зрілі практики безпеки штучного інтелекту, однак тільки близько 40% команд з безпеки програмного забезпечення (AppSec) погоджуються з цією оцінкою.

Команди AppSec часто є першими, хто стикається з операційними провалами у кадрах управління, оскільки вони взаємодіють безпосередньо з ланцюгом постачання програмного забезпечення. Ці практики повідомляють про зустріч з великими об’ємами сигналів, невиразним володінням відповідальністю за безпеку та фрагментованим інструментарієм у середовищах розробки та безпеки.

За даними звіту, 47% респондентів ідентифікували роз’єднані команди та невиразне володіння як найбільшу перешкоду для покращення безпеки ланцюга постачання програмного забезпечення.

Результатом є середовище, у якому організації можуть вважати, що мають сильні програми безпеки, тоді як критичні пробіли залишаються у прозорості, підзвітності та операційній координації.

Парадокс SBOM: Генерується, але рідко використовується

Іншим важливим висновком дослідження є питання щодо Списків матеріалів програмного забезпечення (SBOM) – інвентаризації компонентів програмного забезпечення, призначених для допомоги організаціям у відстеженні залежностей та уразливостей.

Прийняття SBOM розширилося значно за останні роки, особливо через регуляторний тиск та атаки на ланцюг постачання. Однак дослідження Manifest свідчить, що багато організацій розглядають генерацію SBOM як перевірку відповідності, а не операційну можливість.

У звіті підкреслюються кілька ключових статистичних даних:

  • 60% організацій генерують SBOM
  • Більше половини не активно керують або використовують їх на практиці
  • 79.6% використовують інструменти аналізу складу програмного забезпечення (SCA)
  • Операційне використання SBOM залишається значно нижчим – 41.8%

Без централізованого прийому, нормалізації, забезпечення політики та безперервного моніторингу SBOM стають статичними артефактами, а не активними інструментами управління ризиками.

Команди з безпеки також висловлюють скептицизм щодо традиційних платформ аналізу складу програмного забезпечення. 56.3% респондентів кажуть, що інструменти SCA створюють шум або затримують команди розробки, тоді як 46.4% сумніваються, що ці інструменти суттєво знижують реальні ризики програмного забезпечення.

Цей розрив ілюструє ширшу проблему зрілості: організації можуть генерувати великі об’єми даних безпеки, але часто не мають операційної інфраструктури для перекладу цих сигналів у зменшення ризиків.

Дані прозорості покращують безпеку та швидкість розгортання

Незважаючи на ці проблеми, дослідження показує, що організації, які досягають суттєвої прозорості у своєму ланцюзі постачання програмного забезпечення, отримують вимірювані вигоди.

Практично половина респондентів (49.4%) повідомляють про отримання перевірених даних прозорості – таких як SBOM, записи походження або підписані бінарні файли – від постачальників під час закупівель.

Коли ця інформація є надійною та операційна, вплив є суттєвим:

  • 64% повідомляють про швидше впровадження нових технологій
  • 61.6% повідомляють про швидше вирішення проблем безпеки
  • 15.5% повідомляють про зменшення часу простою

Організації, які не мають такої прозорості, платять так званий “податок прозорості” – додатковий час, вартість та ризик, пов’язані з ручним дослідженням непрозорих компонентів програмного забезпечення.

Високо регульовані галузі демонструють цю проблему. Фінансові послуги та організації охорони здоров’я повідомляють про одні з найнижчих рівнів отримання перевірених даних прозорості від постачальників – 14.3% та 19.5% відповідно, незважаючи на те, що вони мають найбільшу потребу в цьому.

Впровадження штучного інтелекту прискорюється в підприємствах

Дослідження також підкреслює, як швидко штучний інтелект став частиною екосистем програмного забезпечення підприємств.

Практично жодна організація, опитана у дослідженні, не повідомила про повне уникнення штучного інтелекту. Натомість компанії експериментують з різними підходами:

  • 80.2% використовують затверджені комерційні моделі штучного інтелекту внутрішньо
  • 79.9% широко використовують комерційні інструменти, такі як ChatGPT або Cursor
  • 56.7% тренують відкриті моделі на внутрішніх даних
  • 29.3% будують власні моделі штучного інтелекту з нуля

Фінансові послуги та технологічні компанії лідирують у впровадженні. Практично 90% фінансових послуг організацій повідомляють про затверджені внутрішні моделі штучного інтелекту, і 46.9% будують власні моделі з нуля, що значно вище середнього рівня.

Ці сектори мають сильні стимули для швидкої дії. У фінансових послугах штучний інтелект безпосередньо впливає на виявлення шахрайства, управління ризиками та генерацію доходу. У технологічних компаніях штучний інтелект все частіше стає ядром пропозицій продуктів та платформ.

Однак швидкий темп впровадження часто випереджає управління.

Тіньовий штучний інтелект стає поширеною проблемою

Дослідження підтверджує, що тіньовий штучний інтелект – інструменти або моделі, розгорнуті без формального нагляду – вже поширені.

Тільки 34.8% респондентів повідомляють про відсутність тіньового штучного інтелекту в їхніх організаціях, тоді як решта визнають хоча б деяке неконтрольоване використання штучного інтелекту.

Цей шаблон повторює попередні хвилі “тіньових ІТ”, коли співробітники приймали хмарні послуги або інструменти SaaS поза офіційними процесами закупівель.

Регіональні відмінності також з’являються. Організації в Європі повідомляють про вищі рівні роботи без тіньового штучного інтелекту (45.7%), ймовірно, через сильніші регуляторні рамки та суворіші процеси закупівель у порівнянні з іншими регіонами.

Однак звіт попереджує, що традиційні інструменти безпеки ніколи не були розроблені для відстеження моделей штучного інтелекту, наборів даних та послуг у розподілених середовищах розробки.

Ліцензійні та юридичні ризики є ще однією великою сліпою плямою

Поза технічним управлінням дослідження також підкреслює юридичні та ком플айенс-проблеми, пов’язані з впровадженням штучного інтелекту.

Поняття ліцензійних умов, прав інтелектуальної власності та обмежень використання моделей та наборів даних штучного інтелекту залишається складним для багатьох організацій. Опитування виявило:

  • 93% респондентів кажуть, що їх організація має можливість покращення у управлінні ліцензіями та зобов’язаннями щодо інтелектуальної власності штучного інтелекту
  • 54.6% сильно погоджуються, що це залишається великою проблемою

Ці ризики стають особливо гострими, коли організації тренують відкриті моделі на внутрішніх даних або поєднують власні набори даних з компонентами штучного інтелекту третьої сторони.

Без сильніших кадрів управління компанії могли б ненавмисно ввести порушення ліцензій або комплаєнс-експозицію у системи виробництва.

Операційне вирівнювання може бути справжньою проблемою

Хоча інструменти безпеки продовжують розвиватися, звіт свідчить, що найбільша перешкода для ефективної безпеки ланцюга постачання штучного інтелекту може не бути технологією сама по собі.

Натомість багато організацій борються з фрагментованим володінням, роз’єднаними робочими процесами та відсутністю спільної системи обліку програмного забезпечення та компонентів штучного інтелекту.

Найчастіше цитовані обмеження включають:

  • 47.3% організаційних обмежень
  • 36.3% недостатніх навичок
  • 35.7% обмежень бюджету
  • 34.8% відсутності розуміння управління
  • 32.6% нестачі персоналу

Ці операційні пробіли роблять складним для сигналів безпеки перекладатися у послідовне забезпечення політики чи зменшення ризиків.

Чому безпека ланцюга постачання штучного інтелекту стає стратегічною пріоритетом

Когда штучний інтелект стає частиною кожного шару програмного забезпечення підприємств, концепція ланцюга постачання програмного забезпечення розширюється для включення моделей, наборів даних, інференс-сервісів та платформ штучного інтелекту третьої сторони.

Звіт Manifest підсумовує, що організації повинні рухатися далі від інструментів прозорості у певний момент часу та будувати безперервний, операційний контроль над ланцюгами постачання штучного інтелекту.

Це включає:

  • Відстеження всіх моделей штучного інтелекту, використовуваних у середовищах розробки
  • Верифікацію походження та ліцензійності тренувальних даних
  • Застосування політики управління під час розробки та розгортання
  • Утримання безперервних інвентаризацій, подібних до SBOM, для компонентів штучного інтелекту

Без цих механізмів розрив між впровадженням штучного інтелекту та управлінням штучним інтелектом продовжить зростати.

І як дослідження показує, цей розрив вже існує всередині багатьох підприємств сьогодні.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.