PwC: Giải mã các rủi ro và thách thức bảo mật do AI sáng tạo gây ra

Nguồn: PwC

Nguồn hình ảnh: Được tạo bởi Unbounded AI

Tác động của làn sóng các sản phẩm AI sáng tạo đối với bảo mật doanh nghiệp

Một số sản phẩm AI sáng tạo như ChatGPT được kỳ vọng sẽ giải phóng nhân viên khỏi những nhiệm vụ tẻ nhạt và lặp đi lặp lại, đồng thời nhân viên có thể dành nhiều thời gian và sức lực hơn cho công việc có giá trị hơn đối với công ty. Tuy nhiên, từ góc độ bảo mật doanh nghiệp, các sản phẩm AI tổng hợp có thể gây ra những rủi ro mới, đây là con dao hai lưỡi đối với doanh nghiệp.

01 Nguy cơ tấn công mạng gia tăng

AI sáng tạo hạ thấp rào cản gia nhập đối với tin tặc. Tin tặc có thể sử dụng AI tổng hợp để nhanh chóng tích hợp các phương thức tấn công mạng khác nhau, "vũ khí hóa" các phương thức tấn công một cách thuận tiện và có thể đạt được các phương thức tấn công sáng tạo. Đội ngũ an ninh mạng của PwC đã quan sát thấy rõ ràng rằng các cuộc tấn công kỹ thuật xã hội như email lừa đảo mà khách hàng nhận được đã tăng đáng kể trong những tháng gần đây, trùng hợp với việc sử dụng rộng rãi ChatGPT; ChatGPT cũng được phát hiện là dễ lừa đảo hơn đối với các trang web lừa đảo tạo hàng loạt.

02 Rò rỉ dữ liệu nhạy cảm của doanh nghiệp

Các chuyên gia bảo mật lo ngại về khả năng rò rỉ dữ liệu nhạy cảm của doanh nghiệp và hành vi nhập liệu không đúng của nhân viên có thể khiến dữ liệu nhạy cảm vẫn còn trong cơ sở dữ liệu của các sản phẩm AI tổng quát. Chính sách bảo mật của OpenAI cho thấy nội dung được người dùng nhập khi sử dụng ChatGPT sẽ được sử dụng để đào tạo mô hình thuật toán AI của nó. Hơn nữa, ChatGPT đã gặp phải các vấn đề bảo mật nghiêm trọng. Do các lỗ hổng trong thư viện mã nguồn mở, một số người dùng có thể xem tiêu đề trong lịch sử hội thoại của những người dùng khác. Hiện nhiều ông lớn công nghệ như Amazon, Microsoft đã nhắc nhở nhân viên không chia sẻ dữ liệu nhạy cảm với ChatGPT.

03 Rủi ro nhiễm độc AI tổng hợp

Đầu độc dữ liệu đào tạo là một mối đe dọa bảo mật phổ biến mà AI tổng quát phải đối mặt. Dữ liệu độc hại sẽ có tác động tiêu cực đến kết quả của các thuật toán AI. Nếu hoạt động quản lý phụ thuộc nhiều vào AI tổng quát, các quyết định sai lầm có thể được đưa ra đối với các vấn đề quan trọng. Mặt khác, AI tổng quát cũng tiềm ẩn các vấn đề "thiên vị". Tương tự như hoạt động “100 lọ thuốc độc cho AI” được nhiều chuyên gia, học giả nổi tiếng tham gia, trong quá trình phát triển hoặc sử dụng AI, doanh nghiệp nên chủ động ứng phó với nguy cơ nhiễm độc AI một cách có chiến lược.

04Vấn đề bảo vệ quyền riêng tư

Giai đoạn tiền đào tạo AI tổng quát yêu cầu một lượng lớn thu thập và khai thác dữ liệu, có thể bao gồm thông tin cá nhân của nhiều khách hàng và nhân viên. Nếu AI tổng quát không thể bảo vệ và ẩn danh những thông tin cá nhân này đúng cách, thì điều đó có thể dẫn đến rò rỉ quyền riêng tư và những thông tin cá nhân này thậm chí có thể bị lạm dụng để phân tích và suy đoán về hành vi của người dùng. Ví dụ, thị trường ứng dụng điện thoại di động có đầy phần mềm tạo ảnh, người dùng chỉ cần tải lên nhiều ảnh đại diện của chính họ và phần mềm có thể tạo ảnh tổng hợp theo các cảnh và chủ đề khác nhau. Tuy nhiên, cách các công ty phần mềm sử dụng hình đại diện do những người dùng này tải lên, liệu nó có mang lại sự bảo vệ quyền riêng tư và các rủi ro bảo mật khác hay không, mới đáng được quan tâm và phản hồi.

05 Rủi ro tuân thủ bảo mật doanh nghiệp

Trong trường hợp không có các biện pháp quản lý hiệu quả, việc áp dụng hàng loạt các sản phẩm AI tổng quát có thể dẫn đến các vấn đề tuân thủ bảo mật, đây chắc chắn là một thách thức lớn đối với các nhà quản lý bảo mật doanh nghiệp. Các biện pháp tạm thời để quản lý các dịch vụ trí tuệ nhân tạo sáng tạo, đã được Cục quản lý không gian mạng Trung Quốc xem xét và phê duyệt và được phê duyệt bởi sáu cơ quan bao gồm Ủy ban Cải cách và Phát triển Quốc gia và Bộ Giáo dục, đã được công bố vài ngày trước và sẽ có hiệu lực vào ngày 151 tháng 8 2. Nó đưa ra các yêu cầu cơ bản từ các khía cạnh phát triển và quản trị công nghệ, đặc điểm kỹ thuật dịch vụ, giám sát và kiểm tra cũng như trách nhiệm pháp lý, đồng thời thiết lập một khuôn khổ tuân thủ cơ bản để áp dụng AI tổng quát.

Tìm hiểu về các tình huống đe dọa bảo mật AI tổng quát trong thế giới thực

Sau khi hiểu các rủi ro bảo mật do AI tổng quát gây ra, phần sau đây sẽ phân tích vấn đề phát sinh như thế nào trong một kịch bản đe dọa bảo mật cụ thể hơn và khám phá tác động tinh vi của AI tổng quát đối với bảo mật doanh nghiệp.

01 Tấn công kỹ thuật xã hội

Hacker nổi tiếng thế giới Kevin Mitnick từng nói: “Mắt xích yếu nhất trong chuỗi bảo mật là yếu tố con người”. Chiến thuật thông thường của tin tặc kỹ thuật xã hội là dùng những lời ngon ngọt để dụ dỗ nhân viên của công ty và sự xuất hiện của trí tuệ nhân tạo AI đã tạo điều kiện thuận lợi cho các cuộc tấn công kỹ thuật xã hội. AI sáng tạo có thể tạo ra nội dung giả mạo có độ chân thực cao, bao gồm tin tức giả mạo, bài đăng giả mạo trên mạng xã hội, email lừa đảo, v.v. Những nội dung giả mạo này có thể đánh lừa người dùng, lan truyền thông tin sai lệch hoặc lừa nhân viên đưa ra quyết định sai lầm. AI sáng tạo thậm chí có thể được sử dụng để tổng hợp âm thanh hoặc video để trông giống như thật, có thể được sử dụng để thực hiện hành vi gian lận hoặc làm sai lệch bằng chứng. Văn phòng Công an thành phố Baotou Cục điều tra tội phạm mạng viễn thông đã công bố vụ án lừa đảo viễn thông sử dụng công nghệ AI thông minh. Bọn tội phạm đã lừa 4,3 triệu nhân dân tệ trong 10 phút thông qua công nghệ thay đổi khuôn mặt AI.

02 Vi phạm do thiếu ý thức của nhân viên

Nhiều nhà sản xuất công nghệ đã bắt đầu tích cực vạch ra lộ trình AI tổng quát, tích hợp một số lượng lớn các chức năng AI tổng quát vào các sản phẩm và dịch vụ. Nhân viên có thể vô tình sử dụng các sản phẩm AI tổng quát mà không đọc kỹ các điều khoản sử dụng của người dùng trước khi sử dụng chúng. Khi nhân viên doanh nghiệp sử dụng AI tổng quát, họ có thể nhập nội dung chứa thông tin nhạy cảm, chẳng hạn như dữ liệu tài chính, thông tin dự án, bí mật công ty, v.v., điều này có thể dẫn đến rò rỉ thông tin nhạy cảm của doanh nghiệp. Để ngăn chặn việc lộ thông tin nhạy cảm bởi AI tổng quát, doanh nghiệp cần thực hiện các biện pháp bảo mật toàn diện: bao gồm tăng cường công nghệ chống rò rỉ dữ liệu và hạn chế hành vi trực tuyến của nhân viên; đồng thời, cần đào tạo bảo mật cho nhân viên để nâng cao khả năng bảo mật dữ liệu và bí mật cảnh giác chờ đợi. Ngay khi phát hiện hành vi vi phạm của nhân viên, công ty cần ngay lập tức đánh giá mức độ ảnh hưởng và có biện pháp xử lý kịp thời.

03 Phân biệt đối xử và định kiến không thể tránh khỏi

Lý do tại sao AI tổng quát có thể có sự phân biệt đối xử và sai lệch chủ yếu là do các đặc điểm của dữ liệu đào tạo và thiết kế mô hình của nó. Dữ liệu đào tạo từ Internet phản ánh những thành kiến trong thế giới thực, bao gồm các khía cạnh như chủng tộc, giới tính, văn hóa, tôn giáo và địa vị xã hội. Trong quá trình xử lý dữ liệu đào tạo, có thể không có đủ các biện pháp sàng lọc và làm sạch để loại trừ dữ liệu sai lệch. Tương tự như vậy, có thể không có đủ sự chú ý đến việc giảm sai lệch trong thiết kế mô hình và lựa chọn thuật toán cho AI tổng quát. Các mô hình thuật toán thu nhận các sai lệch trong dữ liệu đào tạo khi chúng học, dẫn đến các sai lệch tương tự trong văn bản được tạo. Mặc dù loại bỏ sự thiên vị và phân biệt đối xử khỏi AI tổng quát là một thách thức phức tạp, nhưng có những bước mà các doanh nghiệp có thể thực hiện để giúp giảm thiểu chúng3.

04 Thỏa hiệp về bảo vệ quyền riêng tư

Trong quá trình sử dụng các sản phẩm AI tổng quát, để theo đuổi các dịch vụ cá nhân hóa và tự động hóa hiệu quả, các doanh nghiệp và cá nhân có thể thực hiện một số thỏa hiệp về bảo vệ quyền riêng tư, cho phép AI tổng quát thu thập một số dữ liệu riêng tư. Ngoài việc người dùng tiết lộ nội dung quyền riêng tư cá nhân cho AI tổng quát trong quá trình sử dụng, AI tổng quát cũng có thể phân tích nội dung đầu vào của người dùng và sử dụng thuật toán để suy đoán thông tin cá nhân, sở thích hoặc hành vi của người dùng, tiếp tục xâm phạm quyền riêng tư của người dùng. Giải mẫn cảm và ẩn danh dữ liệu là một biện pháp bảo vệ quyền riêng tư phổ biến, nhưng nó có thể dẫn đến việc mất một số thông tin của dữ liệu, do đó làm giảm độ chính xác của mô hình tạo. Cần tìm sự cân bằng giữa bảo vệ quyền riêng tư cá nhân và chất lượng của nội dung được tạo . Với tư cách là nhà cung cấp AI tổng quát, họ nên cung cấp cho người dùng tuyên bố chính sách quyền riêng tư minh bạch để thông báo cho họ về việc thu thập, sử dụng và chia sẻ dữ liệu để người dùng có thể đưa ra quyết định sáng suốt.

05 Xu hướng Chính trong Tuân thủ Quy định

Theo quan điểm hiện tại, các rủi ro tuân thủ pháp luật mà AI tổng quát phải đối mặt chủ yếu đến từ "vi phạm nội dung của luật pháp và các quy định" và "vi phạm sở hữu trí tuệ". Trong trường hợp không có sự giám sát, AI tổng quát có thể tạo ra nội dung bất hợp pháp hoặc không phù hợp, có thể liên quan đến các yếu tố phi pháp hoặc bất hợp pháp như xúc phạm, phỉ báng, khiêu dâm, bạo lực; mặt khác, AI tổng quát có thể tạo nội dung dựa trên nội dung có bản quyền hiện có, điều này có thể dẫn đến vi phạm quyền sở hữu trí tuệ. Các doanh nghiệp sử dụng AI tổng quát phải tiến hành đánh giá tuân thủ để đảm bảo rằng các ứng dụng của họ tuân thủ các quy định và tiêu chuẩn có liên quan, đồng thời tránh các rủi ro pháp lý không cần thiết. Trước tiên, doanh nghiệp cần đánh giá xem sản phẩm mình sử dụng có tuân thủ các quy định của "Các biện pháp tạm thời để quản lý dịch vụ trí tuệ nhân tạo sáng tạo" hay không, đồng thời cần chú ý theo dõi các cập nhật và thay đổi của luật pháp và quy định liên quan, và điều chỉnh kịp thời để đảm bảo tuân thủ. Khi doanh nghiệp sử dụng AI sáng tạo với nhà cung cấp hoặc đối tác, doanh nghiệp cần làm rõ quyền và trách nhiệm của mỗi bên, đồng thời quy định các nghĩa vụ và hạn chế tương ứng trong hợp đồng.

Cách các cá nhân và doanh nghiệp có thể chủ động giải quyết các rủi ro và thách thức của AI sáng tạo

Người dùng cá nhân và nhân viên của công ty cần nhận ra rằng trong khi tận hưởng nhiều tiện ích khác nhau do AI tổng quát mang lại, họ vẫn cần tăng cường bảo vệ quyền riêng tư cá nhân và các thông tin nhạy cảm khác.

01Tránh tiết lộ quyền riêng tư cá nhân

Trước khi sử dụng các sản phẩm AI tổng quát, nhân viên nên đảm bảo rằng nhà cung cấp dịch vụ sẽ bảo vệ quyền riêng tư và bảo mật của người dùng một cách hợp lý, đọc kỹ chính sách quyền riêng tư và điều khoản người dùng, đồng thời cố gắng chọn nhà cung cấp đáng tin cậy đã được công chúng xác minh. Cố gắng tránh nhập dữ liệu về quyền riêng tư cá nhân trong quá trình sử dụng và sử dụng danh tính ảo hoặc thông tin ẩn danh trong các tình huống không yêu cầu thông tin nhận dạng thực. Mọi dữ liệu nhạy cảm có thể có cần phải được làm xáo trộn trước khi nhập. Trên Internet, đặc biệt là trên mạng xã hội và các diễn đàn công khai, nhân viên nên tránh chia sẻ quá nhiều thông tin cá nhân, chẳng hạn như tên, địa chỉ, số điện thoại, v.v. và không dễ dàng tiết lộ thông tin cho các trang web và nội dung có thể truy cập công khai.

02 Tránh tạo nội dung gây hiểu nhầm

Do những hạn chế về nguyên tắc kỹ thuật của AI tổng quát, kết quả chắc chắn sẽ bị sai lệch hoặc sai lệch, các chuyên gia trong ngành cũng không ngừng nghiên cứu cách tránh nguy cơ ngộ độc dữ liệu. Đối với thông tin quan trọng, nhân viên nên xác minh thông tin đó từ nhiều nguồn độc lập và đáng tin cậy, và nếu cùng một thông tin chỉ xuất hiện ở một nơi, thì có thể cần phải điều tra thêm để xác nhận tính xác thực của thông tin đó. Tìm hiểu xem thông tin nêu trong kết quả có được hỗ trợ bởi bằng chứng vững chắc hay không, nếu không có cơ sở xác thực, bạn có thể cần phải hoài nghi về thông tin đó. Việc xác định sai lệch và thiên vị của AI tổng quát đòi hỏi người dùng phải duy trì tư duy phản biện, không ngừng cải thiện kiến thức kỹ thuật số và hiểu cách sử dụng các sản phẩm và dịch vụ của mình một cách an toàn.

So với thái độ cởi mở của người dùng cá nhân, các doanh nghiệp vẫn đang chờ đợi và theo dõi AI sáng tạo, sự ra đời của AI sáng tạo vừa là cơ hội vừa là thách thức đối với doanh nghiệp. Doanh nghiệp cần cân nhắc rủi ro tổng thể và triển khai trước một số chiến lược ứng phó.PwC khuyến nghị doanh nghiệp có thể xem xét bắt đầu các công việc liên quan từ các khía cạnh sau.

01 Đánh giá an ninh mạng doanh nghiệp làm rõ các thiếu sót phòng thủ

Thách thức số một mà các doanh nghiệp phải đối mặt vẫn là làm thế nào để bảo vệ chống lại thế hệ tấn công mạng tiếp theo do AI tạo ra. Đối với doanh nghiệp, cần phải đánh giá hiện trạng an ninh mạng, xác định xem doanh nghiệp có đủ khả năng phát hiện và phòng thủ an ninh để đối phó với các cuộc tấn công này hay không, xác định các lỗ hổng bảo vệ an ninh mạng tiềm ẩn và thực hiện các biện pháp gia cố tương ứng để chủ động đối phó. Để đạt được các mục tiêu trên, nhóm an ninh mạng của PwC khuyến nghị các doanh nghiệp tiến hành các cuộc diễn tập đối đầu tấn công và phòng thủ dựa trên các kịch bản đe dọa tấn công mạng có thật này, tức là an ninh mạng “đối đầu xanh đỏ”. Từ các kịch bản tấn công khác nhau, chúng ta có thể phát hiện trước những thiếu sót có thể có của hệ thống phòng thủ an ninh mạng và sửa chữa các lỗi phòng thủ một cách toàn diện và có hệ thống, để bảo vệ tài sản CNTT và bảo mật dữ liệu của doanh nghiệp.

02 Triển khai môi trường thử nghiệm AI tổng quát nội bộ của doanh nghiệp

Để hiểu các nguyên tắc kỹ thuật của AI tổng quát và kiểm soát tốt hơn kết quả của các mô hình AI tổng quát, các doanh nghiệp có thể xem xét thiết lập môi trường thử nghiệm sandbox AI tổng quát của riêng mình trong nội bộ, để ngăn chặn các mối đe dọa tiềm tàng của AI tổng quát không thể kiểm soát đối với dữ liệu doanh nghiệp. Bằng cách thử nghiệm trong một môi trường biệt lập, các công ty có thể đảm bảo rằng dữ liệu chính xác và vốn không có sai lệch có sẵn để phát triển AI, đồng thời có thể khám phá và đánh giá hiệu suất mô hình một cách tự tin hơn mà không gặp rủi ro khi tiếp xúc với dữ liệu nhạy cảm. Một môi trường thử nghiệm biệt lập cũng có thể tránh được tình trạng ngộ độc dữ liệu và các cuộc tấn công từ bên ngoài khác vào AI tổng quát, đồng thời duy trì sự ổn định của mô hình AI tổng quát.

03Thiết lập chiến lược quản lý rủi ro cho AI tổng quát

Các doanh nghiệp nên kết hợp trí tuệ nhân tạo AI vào phạm vi quản lý rủi ro mục tiêu càng sớm càng tốt, đồng thời bổ sung và sửa đổi khung và chiến lược quản lý rủi ro. Tiến hành đánh giá rủi ro cho các tình huống kinh doanh bằng cách sử dụng AI tổng quát, xác định các rủi ro tiềm ẩn và lỗ hổng bảo mật, xây dựng các kế hoạch rủi ro tương ứng, đồng thời làm rõ các biện pháp đối phó và phân công trách nhiệm. Thiết lập một hệ thống quản lý truy cập chặt chẽ để đảm bảo rằng chỉ những nhân viên được ủy quyền mới có thể truy cập và sử dụng các sản phẩm AI tổng quát đã được doanh nghiệp phê duyệt. Đồng thời, hành vi sử dụng của người dùng cần được quy định và nhân viên doanh nghiệp nên được đào tạo về quản lý rủi ro AI tổng quát để nâng cao nhận thức về bảo mật và khả năng đối phó của nhân viên. Các doanh nhân cũng nên áp dụng quyền riêng tư theo phương pháp thiết kế khi phát triển các ứng dụng AI tổng quát, để người dùng cuối biết dữ liệu họ cung cấp sẽ được sử dụng như thế nào và dữ liệu nào sẽ được giữ lại.

04 Thành lập một nhóm làm việc nghiên cứu AI sáng tạo chuyên dụng

Doanh nghiệp có thể thu thập kiến thức và kỹ năng chuyên môn trong tổ chức để cùng khám phá các cơ hội và rủi ro tiềm ẩn của công nghệ AI tổng hợp, đồng thời mời các thành viên am hiểu các lĩnh vực liên quan tham gia nhóm làm việc, bao gồm chuyên gia quản trị dữ liệu, chuyên gia mô hình AI, chuyên gia lĩnh vực kinh doanh, và các chuyên gia tuân thủ pháp luật chờ đợi. Ban quản lý doanh nghiệp cần đảm bảo rằng các thành viên trong nhóm làm việc có quyền truy cập vào dữ liệu và tài nguyên cần thiết để cho phép họ khám phá và thử nghiệm, đồng thời khuyến khích các thành viên trong nhóm làm việc thử nghiệm và xác thực trong môi trường thử nghiệm để hiểu rõ hơn về các cơ hội và cơ hội tiềm năng của AI tổng quát. các kịch bản có thể cân bằng rủi ro để thu được lợi ích từ việc áp dụng công nghệ tiên tiến.

Phần kết luận

Sự phát triển và ứng dụng AI tổng hợp đang có tác động lớn đến công nghệ, có thể tạo ra một cuộc cách mạng mới về năng suất. AI sáng tạo là một công nghệ mạnh mẽ kết hợp những tiến bộ trong các lĩnh vực như học sâu, xử lý ngôn ngữ tự nhiên và dữ liệu lớn để cho phép các hệ thống máy tính tạo ra nội dung bằng ngôn ngữ của con người. Các doanh nghiệp và người lao động nên kiểm soát công nghệ mạnh mẽ này và đảm bảo rằng việc phát triển và ứng dụng nó được thực hiện trong khuôn khổ pháp luật, đạo đức và trách nhiệm xã hội, đây sẽ là một vấn đề quan trọng trong tương lai. Đội ngũ chuyên gia AI của PwC cam kết nghiên cứu cách giúp các công ty thiết lập một cơ chế quản lý AI tổng quát hoàn chỉnh4, để các công ty có thể yên tâm ứng dụng và phát triển công nghệ mới nổi này, điều này sẽ giúp các công ty tham gia In the wave của công nghệ AI, AI tổng hợp có thể mang lại cho doanh nghiệp những lợi thế cạnh tranh bền vững.

Ghi chú

1. Các biện pháp tạm thời đối với việc quản lý các dịch vụ trí tuệ nhân tạo sáng tạo_Văn kiện cấp vụ của Quốc vụ viện_ChinaGov.com

2. Đổi mới và Quản trị: Giải thích các xu hướng quy định mới nhất về trí tuệ nhân tạo tổng quát

3. Hiểu sai lệch thuật toán và cách xây dựng niềm tin vào AI

4. Quản lý rủi ro AI tổng quát: PwC

Tuyên bố miễn trừ trách nhiệm: Thông tin trong bài viết này chỉ dành cho mục đích thông tin chung và không được coi là đầy đủ, cũng như không cấu thành tư vấn hoặc dịch vụ pháp lý, thuế hoặc chuyên môn khác từ PwC. Các tổ chức thành viên của PwC sẽ không chịu trách nhiệm về bất kỳ tổn thất nào do bất kỳ đối tượng nào gây ra do việc sử dụng nội dung của bài viết này.