Proteger os dados da IA
Prós e contras do desenvolvimento aprimorado por IA
A IA está mudando o cenário do desenvolvimento
A IA permitiu que as organizações desenvolvam e aprimorem aplicativos em velocidade e escala impressionantes. Esta evolução para o desenvolvimento de software é impulsionada pela rápida adoção de ferramentas de IA generativa, como ChatGPT e GitHub Copilot.
Entre seus muitos casos de uso, a IA pode gerar código rapidamente (e, em grande grau, com precisão), limpar o código existente, identificar algoritmos úteis, acelerar a documentação do software e acelerar o processo de codificação manual.
Simplificando, a IA pode ser uma ferramenta de desenvolvimento poderosa: quando recebe instruções específicas e cuidadosamente elaboradas, pode produzir resultados de qualidade que economizam tempo e trabalho significativos.
No entanto, toda tecnologia apresenta limitações e, no caso da IA, vimos alguns riscos graves de segurança e privacidade de dados que podem superar os benefícios de eficiência que ela tem a oferecer, desde a falha na detecção de erros críticos até a exposição de código proprietário. Uma das maneiras de combater esses riscos é usar a proteção contra perda de dados (DLP), que ajuda as organizações a detectar a movimentação de dados confidenciais, cumprir as regulamentações de dados e privacidade e neutralizar a exfiltração de dados.
Mas, devido ao fato das ferramentas de IA serem novas, muitas soluções de segurança tradicionais não estão equipadas para mitigar os riscos e incógnitas que representam para os dados organizacionais. Em vez disso, as organizações que procuram utilizar a IA no processo de desenvolvimento podem ativar estas ferramentas com segurança, implementando uma estratégia de proteção de dados resiliente à IA. A proteção de dados moderna ajuda a prevenir o comprometimento de informações confidenciais, violações de conformidade, ataques adversários e perda de propriedade intelectual.
Os riscos do uso de IA generativa na codificação
O desenvolvimento alimentado pela IA pode ajudar as organizações a impulsionar a inovação em escala. No entanto, ao utilizar essas ferramentas sem levar em conta as limitações e riscos inerentes que apresentam, elas podem não só dificultar o processo de desenvolvimento, mas também causar danos às organizações que as utilizam.
1. A IA pode expor (e reproduzir) código proprietário
As ferramentas de IA generativa ingerem as informações que lhes são fornecidas e, em seguida, usam esses dados para identificar padrões e estruturas que lhes permitem gerar novos conteúdos. Quanto mais dados esses modelos de linguagem ampla (LLMs) recebem, mais sofisticados e amplos em escopo eles se tornam.
Isto levanta preocupações importantes quando se trata de dados proprietários. Veja a Samsung, por exemplo, que proibiu o uso do ChatGPT depois que um engenheiro carregou acidentalmente fez o upload do código-fonte interno na ferramenta. Embora esses dados não tenham sido vazados no sentido tradicional, os dados compartilhados com ferramentas de IA são frequentemente armazenados em servidores fora do controle de uma organização que perde a capacidade de proteger como esses dados são usados e distribuídos.
Uma das preocupações mais comuns das organizações é a forma como as plataformas de IA coletam dados dos usuários para treinar ainda mais seus LLMs. Plataformas populares de IA, como OpenAI e GitHub Copilot, treinam seus modelos de IA usando os dados que recebem e, em diversas ocasiões, reproduziram esses dados ao gerar resultados para outros usuários dessas plataformas. Isso levanta questões de privacidade em relação a códigos proprietários, dados confidenciais ou informações de identificação pessoal (PII) expostos publicamente.
No final das contas, compartilhar dados com plataformas de IA é como compartilhar dados com qualquer outra empresa. Os usuários confiam nelas para salvaguardar as entradas de dados, sem se aperceberem que a segurança dos dados não é um recurso essencial e quanto mais dados acumulam, mais se tornam um alvo lucrativo.
2. A IA pode introduzir vulnerabilidades
Muitos dos vazamentos relacionados às ferramentas de IA foram acidentais: um engenheiro faz upload de código que não deveria ter sido divulgado fora de ambientes internos ou uma organização descobre respostas do ChatGPT que se assemelham muito a dados confidenciais da empresa.
Outros casos de comprometimento são mais astuciosos. FraudGPT e WormGPT são duas ferramentas de IA treinadas especificamente em dados roubados com o único propósito de criar campanhas de phishing, automatizar malware e realizar ataques de engenharia social mais sofisticados e com aparência humana. Embora a maioria das plataformas de IA sejam predominantemente utilizadas para fins benéficos, a poderosa tecnologia que as sustenta pode ser treinada para acelerar e impulsionar ataques.
Além de explorar dados roubados, ferramentas de IA mais benignas podem gerar códigos instáveis. Em um estudo recente, 40% do código gerado pelo GitHub Copilot continha pelo menos uma das 25 vulnerabilidades mais comuns identificadas pelo MITRE. Os autores do estudo determinaram que isso foi o resultado do treinamento do Copilot no repositório de código aberto do GitHub, no qual qualquer usuário poderia fazer upload de código.
Finalmente, as próprias ferramentas de IA também podem ser alvo de invasores. Num caso recente, o ChatGPT sofreu uma violação de dados em que mais de 100.000 contas foram comprometidas. Informações de nomes, endereços de e-mail e de pagamento, e de cartão de crédito foram expostas na violação, assim como títulos de bate-papos confidenciais e mensagens criadas com a ferramenta.
3. A IA pode contornar os controles de privacidade de dados
A facilidade com que as ferramentas de IA podem ser manipuladas levanta questões sobre até que ponto as organizações serão capazes de proteger totalmente os dados dos usuários ao utilizarem estas tecnologias. Seja inadvertidamente ou maliciosamente, o uso de software de IA pode abrir a porta para a exposição de dados e criar problemas generalizados de conformidade.
Por exemplo, os pesquisadores descobriram uma falha crítica no software de IA da Nvidia que lhes permitiu contornar restrições intencionais de privacidade e segurança de dados. Em menos de um dia, eles conseguiram enganar a estrutura de IA para revelar PII.
Investir em IA requer uma mentalidade de segurança em primeiro lugar
Ao proteger dados confidenciais contra os riscos da IA, pode ser útil pensar na IA como um dos tipos mais perigosos de TI invisível. Simplificando, o uso de ferramentas de IA de terceiros geralmente acarreta uma falta de visibilidade crítica sobre como os dados estão sendo processados, armazenados e distribuídos.
Como as ferramentas de IA de código aberto não foram desenvolvidas tendo em mente a segurança e a privacidade dos dados, a responsabilidade recai sobre as organizações de defender proativamente seus sistemas, códigos e dados de usuários contra comprometimentos. Além de proibir completamente o uso de IA, as organizações podem empregar diversas estratégias para minimizar esses riscos, incluindo:
Usar identificação de riscos proativa
Antes de introduzir novas ferramentas de IA de terceiros, avalie os casos de uso planejados para a IA. A IA será usada para sugerir documentação em linguagem natural? Desenvolver aplicativos de software com pouco ou nenhum código? Avaliar e corrigir falhas no código existente? Integrar-se a aplicativos internos ou produtos voltados ao público?
Uma vez priorizados estes casos de uso, é importante avaliar os possíveis riscos que podem ser introduzidos ou exacerbados pela exposição a ferramentas de IA. Como os riscos da IA existem num amplo espectro, as organizações precisam estabelecer diretrizes claras para prevenir e corrigir quaisquer vulnerabilidades que surjam. Também pode ser útil consultar a documentação existente de vulnerabilidades conectadas a software de IA específico.
Desenvolver protocolos em relação ao uso da IA
Não é preciso dizer que as organizações não devem fornecer acesso total à IA, especialmente quando informações proprietárias e dados do usuário estão em jogo. Além das preocupações com segurança e privacidade de dados, as ferramentas de IA levantam questões de viés e transparência, o que pode afetar ainda mais os benefícios do desenvolvimento aprimorado pela IA.
Por esta razão, as organizações devem desenvolver diretrizes e protocolos para o uso da IA de terceiros. Determine quais dados podem ser compartilhados com ferramentas de IA, em que contexto esses dados podem ser compartilhados e quais ferramentas de IA podem acessá-los. Investigue possíveis vieses introduzidos pelas ferramentas de IA, documente como a IA é usada na organização e estabeleça padrões para a qualidade dos resultados gerados pela IA que são coletados.
Implementar e ajustar controles de IA
A IA está em constante evolução e, como tal, precisa ser monitorada continuamente. Ao utilizar modelos de IA, ajuste os protocolos existentes e as restrições de dados à medida que surgem novos casos de uso. Ao avaliar continuamente o código e as funções gerados pela IA, as organizações poderão detectar possíveis riscos com mais facilidade e minimizar a probabilidade de comprometimento.
As verificações internas devem ser complementadas por avaliações regulares das ferramentas de IA de terceiros. À medida que novas vulnerabilidades são registradas no ChatGPT, Copilot ou outro software de IA, reconsidere o tipo de dados que estão sendo inseridos nessas ferramentas ou, se necessário, revogue o acesso às ferramentas até que as falhas sejam corrigidas
Investir em proteção de dados que possa antecipar os riscos da IA
As soluções tradicionais de proteção de dados não são adaptáveis ou flexíveis o suficiente para acompanhar a evolução dos riscos dos dados de IA. Muitos produtos padrão de proteção contra perda de dados (DLP) são complexos para configurar e manter e introduzem experiências do usuário negativas, de modo que, na prática, os controles de DLP são frequentemente subutilizados ou totalmente ignorados. Quer sejam implantados como uma plataforma autônoma ou integrados a outros serviços de segurança, os serviços de DLP por si só podem muitas vezes ser muito ineficientes e ineficazes para serem modificados em relação às várias maneiras pelas quais a IA pode ser explorada.
Em vez disso, as organizações precisam investir em tecnologia de proteção de dados projetada para ser ágil o suficiente para mitigar os riscos de IA e proteger informações proprietárias e dados de usuários contra o uso indevido, comprometimento e ataques. Ao avaliar soluções modernas de proteção de dados, opte por uma que seja arquitetada para proteger o código do desenvolvedor em todos os locais onde residem dados valiosos, enquanto evolui junto com as mudanças nas necessidades de segurança e privacidade de uma organização.
Cloudflare ajuda a minimizar riscos da IA
As empresas estão apenas começando a aprender como aproveitar a IA generativa. Mesmo nos seus primórdios, a IA já expôs dados e introduziu riscos de privacidade.Hoje, minimizar eficazmente estes riscos requer coordenação estratégica entre pessoas, processos e tecnologia.
A Cloudflare foi projetada para permanecer na vanguarda dos riscos de dados distintamente modernos, como as ferramentas emergentes de IA.O Cloudflare One converge diversas soluções pontuais de proteção de dados em uma única plataforma SSE para um gerenciamento mais simples e aplica controles em todos os lugares, em todos os ambientes web, SaaS e privados, com velocidade e consistência.Com todos os serviços criados na rede programável da Cloudflare, novos recursos são criados rapidamente e implantados em todos os locais da rede 320.
Esta abordagem ajuda as organizações com a sua estratégia de proteção de dados de tal forma que:
As equipes de segurança podem proteger os dados de forma mais eficaz, simplificando a conectividade, com opções flexíveis em linha e baseadas em API para enviar tráfego à Cloudflare para impor controles de dados.
Os funcionários podem melhorar a produtividade ao garantir experiências do usuário confiáveis e consistentes, comprovadamente mais rápidas do que outros concorrentes.
As organizações podem aumentar a agilidade inovando rapidamente para atender aos crescentes requisitos de segurança e privacidade de dados.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Obtenha o artigo técnico Simplifying the way we protect SaaS applications para saber como a Cloudflare ajuda as organizações a proteger seus aplicativos e dados com uma abordagem Zero Trust.
Principais conclusões
Após ler este artigo, você entenderá:
Como a IA coloca em risco dados proprietários
Onde a proteção de dados legada é insuficiente
Estratégias para minimizar os riscos de IA e maximizar a produtividade