בשנה החולפת היינו עדים להתפתחויות מסמרות שיער בזכות הבינה המלאכותית, מדרכים חדשות ליצירת תוכן ועד גילוי אוצרות טבע. מנגד, ראינו גם את פוטנציאל ההרס שהטכנולוגיה הזאת מסוגלת לחולל ובפרט במרחב הווירטואלי, היכן שאנו שוהים יותר ויותר. נדמה שאי אפשר עוד לבטוח במה שאנחנו קוראים, רואים ושומעים. כפרטים וכקהילות, אנחנו נתונים לסוגים חדשים של תקיפות שמוקדם עדיין להבין, ושינויים נוספים כבר מעבר לפינה. אז למה צריך לצפות בשנה הנוכחית?
האקרים לא יפרצו - הם פשוט ייכנסו
ה-AI הגנרטיבי הלך כברת דרך, והימים של תחביר מוזר וביטויים מעוררי חשד חלפו עברו. במצב כזה, צורות תקיפה קלאסיות כמו פישינג הופכות מפתות יותר וקשות יותר להבחנה. עובדים ייטו למסור ביתר קלות פרטים והרשאות, כי הקולות יישמעו להם מוכרים והבקשות ייראו בעיניהם אמינות. וכך, בלי לשים לב, הם יפתחו את הדלת לרווחה בפני גורמים זדוניים.
או שהסודות פשוט יפרצו החוצה מעצמם
בעזרת מודלים של GenAI אפשר ליצור תוכן מותאם ומשכנע, מדויק לאותו הרגע. עבור תוקפים פוטנציאליים, זה מכרה זהב לדפוס חדש לגמרי של הנדסה חברתית. במקום לחפש נקודות תורפה במכונות, הם ימצאו אותם במוחות. היכולת של תוקפים עם יכולות מדינתיות לעצב את מה שאנשים צורכים כדי לגרום להם לפעול בדרך לא אופיינית - זו כבר המציאות. עם דיפ-פייק ודיסאינפורמציה אפשר היום להפוך עובדים ואזרחים תמימים ליריבים. ומה שמדאיג עוד יותר: מסרים מעוררי אימה ברשת עלולים להתפשט במהירות שיא ולהצית אלימות ברמה עולמית.
איום מבית
המודלים הגנרטיביים עצמם מהווים יעד לתקיפה, והאופי הקריאייטיבי שלהם עשוי להקשות מאוד על הזיהוי. זה מטריד במיוחד נוכח העובדה שאותם מודלים כבר מוטמעים ברבים מהמוצרים הכי חדשניים שיש לנו, ונמצאים בשימוש יומיומי על ידי כמעט כל מי שמחזיק במכשיר המחובר לרשת. גורמים זדוניים שוקדים ממש עכשיו על הרעלת המודלים והמערכות. הם עושים זאת דרך הזרמת דאטה שעלול לייצר פגמים לניצול בהמשך, כאשר הוא משמש לאימון אלגוריתמים או לשאילתות. וכמובן, AI הוא גם מה שמאפשר לעשות את כל זה במהירות על אנושית ובקנה מידה גלובלי.
ממשלות ינסו לקדם רגולציות - חברות יתקשו לציית
שד ה-AI יצא מהבקבוק. הרגולטורים מנסים לרדוף אחריו, וכבר החלו לגבש מדיניות שמחייבת חברות להפגין שליטה ובקרה רחבות יותר מכפי שכנראה יש להן כעת. על מנת לציית לדרישות הרגולציה יהיה צורך בשינוי גישה גורף בפיתוח מערכות ובאבטחה. פרדוקסלית, הרגולציה עשויה דווקא להקל את מלאכתם של התוקפים, לפחות לטווח הקצר. זאת משום שהחברות והארגונים ייאלצו להשקיע מאמץ ניכר לאימוץ הכלים והתהליכים החדשים הנדרשים להגנה על העובדים והסביבות.
הבנו, אם כן, שהאקרים עושים שימוש ב-AI כדי לתכנן תקיפות מתוחכמות יותר ובמהירות רבה יותר, ואפילו כדי ליצור חוסר יציבות במודלי ה-AI עצמם. ולהם, מיותר לציין, אין כל רגולציה להתמודד איתה. זה בהחלט מכוער. אבל זה רק חצי מהסיפור.
נלחמים באש עם אש
מהפכת ה-AI לא נוגעת רק לתוקפים - אותה טכנולוגיה עצמה ניכרת היטב גם בצד המתגונן. היא הופכת פגיעויות בקוד ובקונפיגורציה לפשוטות יותר לאיתור ותיקון, מאפשרת אוטומציות בזיהוי ובתגובה, ומשחררת את הגורם האנושי להקדיש זמן רב יותר למחקר ולגיבוש דרכים חדשות שיספקו הגנה אפקטיבית יותר לעולם שלנו.
לא מעט פחד, חוסר ודאות וספקות אופפים את ה-AI, ובצדק. אבל 2024 צפויה להיות שנת מפנה בקרב חברות, אלו מהן שמעוניינות ומסוגלות, בהבאת הטכנולוגיות החדשניות לידי ביטוי בחמ"לי הסייבר.
הכותב הוא סגן נשיא ל-AI ולמידת מכונה ב-SentinelOne