Google komt in een blog aan met een Secure AI Framework (SAIF, PDF). Met zes principes hoopt het partijen te helpen om kunstmatige intelligentie op een verantwoordelijke manier in te zetten.
We kennen al meerdere lijstjes van ‘best practices’ die Big Tech-bedrijven aanhouden rondom AI. Zo liet Microsoft in juni 2022 zien (PDF) hoe het intern een Responsible AI Standard aanhield. Bij Google wil men echter vooral aantonen hoe andere organisaties veilig en zorgvuldig om kunnen gaan met de technologie. Veel is bekend terrein en komt overvliegen van de ‘conventionele’ software development-hoek. Ook is er aandacht voor AI versus AI: immers zullen kwaadwillenden net zo enthousiast zijn over de potentie van de technologie als legitieme bedrijven.
Doe wat je al deed, en meer
Allereerst stelt Google dat een security-fundering belangrijk is bij een AI-ecosysteem. Wie zelf een model opzet of bijvoorbeeld een publiek beschikbare large language model (LLM) voedt met eigen data, moet wel de eigen IT-infrastructuur goed ingericht hebben. Zero-trust beleid dient te voorkomen dat iemand er met je model vandoor gaat of dat kwaadaardige code-injecties mogelijk zijn. Ook spreekt Google over het gevaar voor trainingsdata met gevoelige informatie. Denk aan een bank die AI inzet om fraude op te sporen: het model erachter kan dan gevoed zijn door gevoelige financiële data, waardoor het essentieel is dat deze niet in de verkeerde handen vallen.
Ten tweede is het van belang om extended detection & response aan te houden. Threat-intelligence dient aanvallen op te sporen voordat ze een probleem vormen, terwijl de input en output van generatieve AI-systemen in de gaten gehouden moeten worden. De voorbereiding op cyberaanvallen is sowieso al minder goed dan gewenst, zag ook Tom Gillis van Cisco toen we in april met hem spraken. AI versterkt de noodzaak om hier echt in te verbeteren.
Tip: Het ene XDR-platform is het andere niet: kwaliteit telemetrie is cruciaal
AI versus AI, nieuwe uitdagen
Daarnaast moet AI ook de eigen AI-systemen beschermen. De automatisering van verdediging wordt steeds belangrijker nu kunstmatige intelligentie aan het democratiseren is. Ook kwaadwillenden zullen de technologie gaan inzetten, hoewel dat vooralsnog niet wereldschokkende veranderingen bij cybercrime teweegbrengt. Het lijkt vooral nog te gaan om het schrijven van phishing-emails met hulp van ChatGPT, bijvoorbeeld. Op den duur gaan hackers met AI echter op jacht naar andere AI-modellen, en dat vereist een dynamische verdedigingsstructuur dat dynamisch op het dreigingslandschap reageert.
Logischerwijs pleit Google eveneens voor het garanderen van consistente security-besturing. AI mag niet buiten de boot vallen. Verder zijn technieken als reinforcement learning en menselijke feedback belangrijk om een AI-model fit te houden voor cyberdreigingen. Ten slotte rept het bedrijf over end-to-end risk assessments, waarbij organisaties globaal en specifiek moeten kijken naar elke stap in het AI-ontwikkelingsproces. Voorbeelden hiervan zijn het nagaan van data-oorsprongen en validatie van een AI-model dat in operatie is.
Waar Google zelf al aan sleutelt
Om AI in goede banen te leiden, doet Google wel meer dan alleen het uitschrijven van frameworks. CEO Sundar Pichai is een bekend gezicht in Brussel en Washington en oppert voor algemene AI-wetgeving. Zo blijft niet alleen intern beleid omtrent AI-ontwikkeling door Google uitgelicht, maar ook de externe effecten ervan. Het motief hiervoor hoeft niet per se cynisch bekeken te worden, aangezien een beursgenoteerd bedrijf niet graag te maken wil hebben met een grote controverse rondom de eigen technologie. De AI-strijd zou namelijk leiden tot onnodige risico’s om competitief te blijven bij Google versus een partij als OpenAI, waardoor er meer nodig is dan alleen best practices voor organisaties.
Tip: Zijn Google en OpenAI de juiste partners om AI te reguleren?
Ook communiceert Google gericht met organisaties zelf om AI-security. Zo stelt het informatie van onderzoeksteams van Mandiant en TAG beschikbaar zodat dreingen up-to-date bijgehouden worden. Daarnaast tracht het de eigen producten veilig te houden met verschillende bug bounties. Ook is het een partner van GitLab en Cohesity om open-source tools te produceren die SAIF dient te garanderen.
14 uur geleden
