An ninh mạng cho doanh nghiệp khi có trợ lý AI hỗ trợ toàn diện – Nguy cơ ẩn sau trợ lý ảo thông minh

www.tuoitre.vn -   02/07/2024 08:00:00 71

Mặc dù Microsoft đã sửa đổi đáng kể kế hoạch triển khai tính năng Recall gây tranh cãi, nhưng các nhóm an ninh mạng không thể bỏ qua vấn đề "người theo dõi AI".

An ninh mạng cho doanh nghiệp khi có trợ lý AI hỗ trợ toàn diện – Nguy cơ ẩn sau trợ lý ảo thông minh

Trong suốt tháng 5 và tháng 6, thế giới CNTT đã theo dõi diễn biến của Copilot+ Recall. Đầu tiên là thông báo của Microsoft về tính năng "bộ nhớ" có tên Recall, tính năng này sẽ chụp ảnh màn hình mọi thứ diễn ra trên máy tính sau mỗi vài giây và trích xuất mọi thông tin hữu ích vào cơ sở dữ liệu dùng chung. Sau đó, các nhà nghiên cứu an ninh mạng đã chỉ trích việc triển khai Recall bằng cách phơi bày các lỗ hổng bảo mật và chứng minh khả năng rò rỉ dữ liệu — bao gồm cả dữ liệu từ xa. Điều này buộc Microsoft phải lùi bước: đầu tiên tuyên bố tính năng này sẽ không được bật theo mặc định và hứa hẹn cải thiện mã hóa, sau đó trì hoãn hoàn toàn việc triển khai Recall hàng loạt — chọn thử nghiệm tính năng này trước trong bản beta của Chương trình Người dùng nội bộ Windows. Bất chấp sự cố này, Redmond vẫn cam kết với dự án và có kế hoạch triển khai trên nhiều loại máy tính — bao gồm cả những máy tính có CPU AMD và Intel.

Trong bối cảnh các thiết bị tại nơi làm việc — đặc biệt là nếu công ty cho phép BYOD — Recall rõ ràng vi phạm chính sách lưu giữ dữ liệu của công ty và khuếch đại đáng kể thiệt hại tiềm ẩn nếu mạng bị tin tặc hoặc phần mềm tống tiền xâm phạm. Điều đáng lo ngại hơn là ý định rõ ràng của các đối thủ cạnh tranh của Microsoft là đi theo xu hướng này. Apple Intelligence mới được công bố gần đây vẫn còn ẩn chứa trong ngôn ngữ tiếp thị, nhưng công ty tuyên bố rằng Siri sẽ có "nhận thức trên màn hình" khi xử lý các yêu cầu và các công cụ xử lý văn bản có sẵn trên tất cả các ứng dụng sẽ có khả năng xử lý cục bộ hoặc xử lý bằng ChatGPT. Trong khi các tính năng tương đương của Google vẫn còn được giữ bí mật, công ty đã xác nhận rằng Project Astra — trợ lý trực quan được công bố tại Google I/O — cuối cùng sẽ tìm được đường vào Chromebook, sử dụng ảnh chụp màn hình làm luồng dữ liệu đầu vào. Các nhóm CNTT và an ninh mạng nên chuẩn bị như thế nào cho sự tràn ngập các tính năng do AI hỗ trợ này?

Nguy cơ đến từ trợ lý ảo thông minh

Trợ lý có thể chụp ảnh màn hình, nhận dạng văn bản trên ảnh và lưu trữ mọi thông tin hiển thị trên màn hình của nhân viên — cục bộ hoặc trên đám mây công cộng. Điều này xảy ra bất kể mức độ nhạy cảm của thông tin, trạng thái xác thực hiện tại hay bối cảnh công việc. Ví dụ: trợ lý AI có thể tạo bản sao cục bộ hoặc thậm chí trên đám mây của email được mã hóa yêu cầu mật khẩu.

Dữ liệu đã thu thập có thể không tuân thủ chính sách lưu giữ dữ liệu của công ty; dữ liệu yêu cầu mã hóa có thể được lưu trữ mà không có mật khẩu; dữ liệu được lên lịch xóa có thể vẫn tồn tại trong một bản sao không được tính đến; dữ liệu được cho là nằm trong phạm vi của công ty có thể xuất hiện trên đám mây — có khả năng nằm trong phạm vi quyền hạn không xác định.

Vấn đề truy cập trái phép trở nên trầm trọng hơn vì trợ lý AI có thể bỏ qua các biện pháp xác thực bổ sung được triển khai cho các dịch vụ nhạy cảm trong một tổ chức. (Nói một cách đại khái, nếu bạn cần xem dữ liệu giao dịch tài chính, ngay cả sau khi được ủy quyền trong hệ thống, bạn cần bật RDP, nâng cấp chứng chỉ, đăng nhập vào hệ thống từ xa và nhập lại mật khẩu — hoặc bạn có thể chỉ cần xem thông qua trợ lý AI như Recall.)

Người dùng và thậm chí cả quản trị viên CNTT có thể kiểm soát trợ lý AI một cách hạn chế. Việc vô tình hoặc cố ý kích hoạt các chức năng hệ điều hành bổ sung theo lệnh của nhà sản xuất là một vấn đề đã biết. Về cơ bản, Recall hoặc một tính năng tương tự có thể xuất hiện trên máy tính một cách bất ngờ và không có cảnh báo như một phần của bản cập nhật.

Mặc dù tất cả các gã khổng lồ công nghệ đều tuyên bố rằng họ rất chú ý đến bảo mật AI, nhưng việc triển khai thực tế các biện pháp bảo mật phải vượt qua được thử thách của thực tế. Những tuyên bố ban đầu của Microsoft về việc dữ liệu được xử lý cục bộ và lưu trữ ở dạng mã hóa đã chứng minh là không chính xác, vì mã hóa đang được đề cập thực chất là BitLocker đơn giản, về cơ bản chỉ bảo vệ dữ liệu khi máy tính đã tắt. Bây giờ chúng ta phải đợi các chuyên gia an ninh mạng đánh giá mã hóa đã cập nhật của Microsoft và bất kỳ thứ gì mà Apple cuối cùng sẽ phát hành. Apple tuyên bố rằng một số thông tin được xử lý cục bộ, một số trong đám mây của riêng họ sử dụng các nguyên tắc điện toán an toàn mà không lưu trữ dữ liệu sau khi xử lý và một số — được truyền đến OpenAI dưới dạng ẩn danh. Trong khi cách tiếp cận của Google vẫn chưa được biết, thì thành tích của công ty đã tự nói lên điều đó.

Dưới góc độ an ninh mạng, trợ lý ảo thông minh vẫn tiềm ẩn nhiều nguy cơ bảo mật liên quan đến dữ liệu riêng tư và mã hoá. Vậy làm sao doanh nghiệp có thể ứng dụng trợ lý ảo thông minh này vào trong hệ thống doanh nghiệp? Hãy cùng tiếp tục tìm hiểu những Chính sách triển khai trợ lý AI mà Kaspersky khuyến nghị tại bài viết sau - An ninh mạng cho doanh nghiệp khi có trợ lý AI hỗ trợ toàn diện – Chính sách triển khai trợ lý AI bảo vệ an ninh bảo mật cho doanh nghiệp, tại đây.

Hương

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 50
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 81
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 83
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ