chatgpt hat sich heutzutage einen Namen gemacht, es ist scheinbar überall. google und Microsoft haben ihre eigenen Versionen großer Sprachmodelle (LLMs) veröffentlicht, und eine Vielzahl anderer Chatbots und ergänzender Technologien befinden sich in der aktiven Entwicklung. Da die generative KI in den Medien, bei Organisationen und bei Menschen so viel Aufsehen erregt hat, liegt es nahe, dass auch IT-Sicherheitsunternehmen hoffen, von diesen Technologien zu profitieren.
Und obwohl diese neue Technologie das Potenzial hat, die Softwareentwicklung komfortabler zu machen, ist es ebenso wahrscheinlich, dass sie zu einer Quelle potenzieller Bedrohungen und Kopfschmerzen für sicherheitsbewusste Unternehmen wird.
Hier sind vier potenzielle Bedrohungen und Kopfschmerzen, die Sicherheitsteams von ChatGPT erwarten können:
- ChatGPT ersetzt keine Sicherheitsexperten.
Das Tool verwendet eine riesige Menge an Texten und anderen Daten, die es online findet, und verwendet verschiedene mathematische Modelle, um seine Antworten zu erstellen. Es ist kein Sicherheitsexperte, aber es ist gut darin, die Beiträge menschlicher Sicherheitsexperten zu finden. Allerdings mangelt es ChatGPT an der Fähigkeit, eigenständig zu denken, und es wird häufig von Benutzerentscheidungen beeinflusst, was alles im Zusammenhang mit Sicherheitsbehebungen verändern kann. Und obwohl die Funktionen zur Codegenerierung verlockend sind, codiert ChatGPT nicht auf dem gleichen Niveau wie ein erfahrener Sicherheitsexperte.
- ChatGPT ist nicht sehr genau.
Trotz der Fanfare über das Bestehen einer juristischen Fakultätsprüfung und anderer College-Prüfungen, ChatGPT ist nicht so schlau. Die Datenbank stammt erst aus dem Jahr 2021, obwohl ständig neue Daten hochgeladen werden. Das ist beispielsweise ein großes Problem, wenn es um die Bereitstellung aktueller Schwachstellen geht. Es liefert jedoch nicht immer die richtigen Antworten, da es davon abhängt, wie die Benutzer ihre Fragen formulieren oder den Kontext der Abfragen beschreiben. Benutzer müssen sich die Zeit nehmen, ihre Fragen zu verfeinern und mit den Chatbots zu experimentieren, was neue Fähigkeiten bei der Formulierung unserer Fragen und der Entwicklung unseres eigenen Fachwissens erfordert.
- ChatGPT kann für Programmierer zusätzliche Arbeit verursachen.
Es kann nicht als No-Code-Lösung dienen oder die Talentlücke schließen, da Nicht-Experten, die für die Technologie verantwortlich sind, die generierten Empfehlungen nicht überprüfen können, um sicherzustellen, dass sie sinnvoll sind. Am Ende wird ChatGPT mehr technische Schulden verursachen, da Sicherheitsexperten jeden von der KI erstellten Code überprüfen müssen, um seine Gültigkeit und Sicherheit nach bestem Wissen und Gewissen sicherzustellen.
- ChatGPT könnte möglicherweise vertrauliche Informationen preisgeben.
Naturgemäß werden die Eingaben aller Chatbots kontinuierlich dazu genutzt, die Modelle selbst neu zu trainieren und zu verbessern. ChatGPT kann potenziell die Schwachstellen einer Organisation ausnutzen und einen zentralen Ort schaffen, an dem Hacker auf die von einem Chatbot generierten Daten zugreifen können. Wir haben schon Ich habe eine frühe Kompromittierung gesehen, bei der der Chatverlauf der Benutzer offengelegt wurde.
Was sollten IT-Sicherheitsmanager angesichts dieser Probleme tun, um ihre Organisationen zu schützen und Risiken zu mindern? Gartner hat einige spezifische Möglichkeiten angeboten, sich besser mit den Chatbots vertraut zu machen, und empfohlen, für Experimente die Azure-Version zu verwenden, da diese keine vertraulichen Informationen erfasst. Sie schlagen außerdem vor, die richtigen Richtlinien einzuführen, um zu verhindern, dass vertrauliche Daten auf die Bots hochgeladen werden, wie z. B. die Richtlinien Walmart hat dies Anfang des Jahres beschlossen.
IT-Manager sollten außerdem an besseren und gezielteren Sensibilisierungs- und Schulungsprogrammen arbeiten. Ein Berater schlägt vor, die Chatbots selbst zu nutzen um Beispiel-Trainingsnachrichten zu generieren. Eine andere Technik: Erstellen Sie Berichte und Analysen zu Cybersicherheitsbedrohungen, die Sicherheitsexperten für die breite Öffentlichkeit umschreiben können.
Da ChatGPT weiterhin Schlagzeilen macht, müssen wir vorsichtig sein, welche Technologie wir nutzen. In den kommenden Jahren werden sich die Investitionsprioritäten wahrscheinlich ändern, sodass sich Datenschutz- und Compliance-Teams noch stärker auf Sicherheitsteams stützen werden, um sicherzustellen, dass ihre Datenschutzkontrollen den neuen Vorschriften entsprechen. ChatGPT kann in diesen Plan passen oder auch nicht. In jedem Fall müssen Sicherheitsanalysten die Vor- und Nachteile der KI-Schnittstelle abwägen und feststellen, ob sich das Risiko einer Integration wirklich lohnt.
Ron Reiter, Mitbegründer und CTO, Sentra