การเติบโตอย่างรวดเร็วของปัญญาประดิษฐ์ได้นำมาซึ่งผลข้างเคียงที่ไม่คาดคิด นั่นคือการกลับมาของช่องโหว่ด้านความปลอดภัยที่เคยสร้างปัญหาให้กับอินเทอร์เน็ตยุคแรก นักวิจัยด้านความปลอดภัยใน งาน Black Hat USA 2023 เปิดเผยว่าระบบ AI หลายระบบถูกนำไปใช้งานพร้อมกับข้อบกพร่องด้านความปลอดภัยขั้นพื้นฐานที่เหมือนกับยุค 1990 เมื่อแนวทางปฏิบัติด้านความปลอดภัยเว็บขั้นพื้นฐานยังอยู่ในระหว่างการพัฒนา
การรีบเร่งที่จะนำ AI เข้ามาใช้ในกระบวนการทางธุรกิจทำให้บริษัทต่างๆ ทำความผิดพลาดซ้ำรอยเมื่อหลายสิบปีก่อน โมเดลภาษาขนาดใหญ่และ AI agents ถูกมอบสิทธิ์และการเข้าถึงระบบที่มีความละเอียดอันศักดิ์สิทธิ์มากเกินไปโดยไม่มีการป้องกันด้านความปลอดภัยที่เหมาะสม สิ่งนี้ได้สร้างสนามเด็กเล่นใหม่สำหรับผู้โจมตีที่สามารถใช้ประโยชน์จากระบบเหล่านี้ด้วยเทคนิคที่เรียบง่ายอย่างน่าประหลาดใจ
 |
|---|
| เน้นย้ำถึงความจำเป็นในการตรวจสอบระบบ AI เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ชวนให้นึกถึงยุคแรกของอินเทอร์เน็ต |
Prompt Injection: SQL Injection รูปแบบใหม่
ช่องโหว่ที่น่ากังวลที่สุดที่ส่งผลกระทบต่อระบบ AI คือ prompt injection ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยเปรียบเทียบกับการโจมตี SQL injection จากยุคแรกของเว็บ อย่างไรก็ตาม ต่างจาก SQL injection แบบดั้งเดิม ปัญหานี้อาจไม่สามารถแก้ไขได้โดยพื้นฐาน ระบบ AI มีปัญหาในการแยกแยะระหว่างคำสั่งและข้อมูล ทำให้เสี่ยงต่อการถูกจัดการผ่านข้อมูลนำเข้าที่ถูกสร้างขึ้นอย่างระมัดระวัง
นักวิจัยได้สาธิตให้เห็นว่าผู้โจมตีสามารถขโมยข้อมูลลูกค้าที่มีความละเอียดอ่อนจากระบบที่ขับเคลื่อนด้วย AI ได้เพียงแค่ขอด้วยวาจาสุภาพ ในกรณีหนึ่ง AI บริการลูกค้าที่สร้างด้วย Microsoft's Copilot Studio ถูกหลอกให้ส่งฐานข้อมูลลูกค้าทั้งหมดทางอีเมลให้กับผู้โจมตีโดยไม่ต้องมีการอนุญาตหรือการทำลายโค้ดใดๆ
ชุมชนได้สังเกตเห็นข้อบกพร่องที่สำคัญในวิธีที่บริษัทต่างๆ เข้าหาความปลอดภัยของ AI หลายองค์กรปฏิบัติต่อระบบ AI เสมือนเป็นผู้ตัดสินใจที่ซับซ้อน แทนที่จะเป็นเครื่องมือง่ายๆ ที่ต้องการการดูแลอย่างเข้มงวดและการเข้าถึงที่จำกัด
ระบบ AI ที่มีช่องโหว่ที่นำเสนอใน Black Hat 2023
| ระบบ | ช่องโหว่ | วิธีการโจมตี |
|---|---|---|
| Microsoft Copilot Studio | การขโมยข้อมูล | การฉีด prompt ผ่านอีเมล |
| ChatGPT | การฉีด Prompt ที่เป็นอันตราย | การใช้ประโยชน์จากการเชื่อมต่อ Google Drive |
| Salesforce Einstein AI | การจัดการหัวข้อ | การโจมตีแบบเปลี่ยนบริบท |
| Cursor (เครื่องมือพัฒนา) | การขโมย Token | การหลีกเลี่ยงด้วยการแทนที่คำสำคัญ |
| CodeRabbit | การขโมยข้อมูลประจำตัว | การจัดการตัววิเคราะห์แบบคงที่ |
ระบบ AI ที่มีสิทธิ์มากเกินไปสร้างพื้นผิวการโจมตีใหม่
ปัญหาหลักที่นักวิจัยด้านความปลอดภัยระบุคือระบบ AI มักจะได้รับการเข้าถึงมากกว่าที่จำเป็น บริษัทต่างๆ นำโมเดล AI อเนกประสงค์มาใช้จัดการทุกอย่างตั้งแต่บริการลูกค้าไปจนถึงการพัฒนาโค้ด ซึ่งสร้างพื้นผิวการโจมตีที่ใหญ่เกินความจำเป็น
Generative AI มีขอบเขตที่กว้างเกินไป AI ตัวเดียวกันที่ตอบคำถามเกี่ยวกับ Shakespeare ก็ช่วยคุณพัฒนาโค้ด การทำให้เป็นเรื่องทั่วไปมากเกินไปนี้นำไปสู่การเพิ่มพื้นผิวการโจมตี
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ปฏิบัติต่อระบบ AI เหมือนกับส่วนติดต่อผู้ใช้อื่นๆ ที่เชื่อมต่อกับระบบแบ็กเอนด์ หลักการความปลอดภัยเดียวกันที่ใช้กับเว็บแอปพลิเคชันควรควบคุมการนำ AI ไปใช้งาน นั่นหมายถึงการใช้การควบคุมการเข้าถึงที่เหมาะสม การตรวจสอบข้อมูลนำเข้า และการสมมติว่าระบบใดๆ ที่ AI สามารถเข้าถึงได้อาจถูกบุกรุก
หลักการความปลอดภัย AI หลักที่นักวิจัยแนะนำ
- ตั้งสมมติฐานว่ามี Prompt Injection: ออกแบบระบบโดยตั้งสมมติฐานว่า AI จะถูกบุกรุก
- จำกัดสิทธิ์ของ AI: ห้ามให้ AI เข้าถึงข้อมูลเกินกว่าที่ผู้ใช้งานควรจะมี
- ปฏิบัติต่อ AI เป็นเครื่องมือ: อย่าคาดหวังให้ AI ตัดสินใจด้านความปลอดภัยหรือทำหน้าที่เป็นตัวแทนที่เชื่อถือได้
- ใช้การป้องกันที่เหมาะสม: วางระบบควบคุมความปลอดภัยระหว่าง AI และระบบแบ็กเอนด์ ไม่ใช่ภายใน AI เอง
- ใช้ AI เฉพาะทาง: ใช้งาน AI ที่เฉพาะเจาะจงกับงานแทนที่จะใช้ระบบอเนกประสงค์ที่มีการเข้าถึงในวงกว้าง
ปัจจัยมนุษย์ในความล้มเหลวด้านความปลอดภัยของ AI
ชุมชนด้านความปลอดภัยได้สังเกตว่าช่องโหว่ของ AI ในปัจจุบันหลายอย่างเกิดจากความเข้าใจผิดพื้นฐานเกี่ยวกับสิ่งที่ระบบเหล่านี้สามารถและไม่สามารถทำได้ บริษัทต่างๆ กำลังนำ AI ไปใช้งานด้วยความคาดหวังว่ามันจะทำงานเหมือนพนักงานมนุษย์ที่น่าเชื่อถือ ในขณะที่ความจริงแล้วมันต้องการการดูแลอย่างต่อเนื่องและข้อจำกัดที่เข้มงวด
ปัญหาซับซ้อนขึ้นด้วยนักพัฒนารุ่นใหม่ที่ขาดประสบการณ์ด้านแนวทางปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน ความสะดวกสบายของผู้ช่วยเขียนโค้ด AI ได้นำไปสู่สิ่งที่นักวิจัยเรียกว่า vibe coding - แนวทางการพัฒนาแบบผ่อนคลายที่เพิกเฉยต่อหลักการความปลอดภัยที่ได้รับการยอมรับ
สถานการณ์นี้ได้สร้างสิ่งที่บางคนอธิบายว่าเป็นการทำให้การแฮ็กเป็นประชาธิปไตย ซึ่งช่องโหว่เดียวกันที่ต้องการความรู้เฉพาะทางในการใช้ประโยชน์ในยุค 1990 ตอนนี้สามารถถูกค้นพบและโจมตีได้โดยคนจำนวนมากขึ้น
มองไปข้างหน้า: บทเรียนจากอดีต
อุตสาหกรรมความปลอดภัยไซเบอร์เผชิญกับทางเลือก: เรียนรู้จากความผิดพลาดในอดีตหรือทำซ้ำในระดับใหญ่ ผู้เชี่ยวชาญด้านความปลอดภัยเน้นว่าระบบ AI ไม่ควรได้รับความไว้วางใจด้วยสิทธิ์เกินกว่าที่จะมอบให้กับผู้ใช้ปลายทาง พวกเขาแนะนำให้ใช้เครื่องมือ AI เฉพาะทางสำหรับงานเฉพาะแทนที่จะนำระบบอเนกประสงค์ที่มีการเข้าถึงกว้างมาใช้งาน
สถานการณ์ปัจจุบันเป็นเครื่องเตือนใจว่าความก้าวหน้าทางเทคโนโลยีไม่ได้รวมการปรับปรุงความปลอดภัยไว้โดยอัตโนมัติ ขณะที่บริษัทต่างๆ ยังคงนำ AI เข้ามาใช้ในการดำเนินงาน บทเรียนที่ได้เรียนรู้จากการพัฒนาความปลอดภัยเว็บหลายทศวรรษจึงมีความเกี่ยวข้องมากกว่าที่เคย
อ้างอิง: Sloppy AI defenses take cybersecurity back to the 1990s, researchers say