Come mitigare i rischi principali dell’AI generativa
Ormai è chiaro a tutti che l’AI generativa (GenAI) è un’arma a doppio taglio: introduce opportunità e rischi. Se da un lato migliora la produttività, soprattutto per quanto riguarda creazione di contenuti, risoluzione di problemi, ricerca e analisi, dall’altro, crea diversi rischi per la sicurezza, non ancora compresi in modo chiaro.
Quali sono quelli più comuni associati alla GenAI e gli aspetti su cui gli utenti dovrebbero migliorare la loro consapevolezza?
La GenAI viene utilizzata per creare esche convincenti
I criminali informatici traggono sicuramente vantaggio dalla GenAI perché li aiuta a superare barriere linguistiche e culturali. Nel report 2024 State of the Phish Proofpoint ha rilevato un incremento degli attacchi BEC (Business Email Compromission) abbian nei Paesi non anglofoni, in parte dovuto proprio dovuto all’ascesa della GenAI.
Un tempo si insegnava a prestare attenzione alla grammatica scorretta e agli errori ortografici in un’e-mail, perché erano segnali evidenti di phishing. Ora non più.
Con la GenAI, i messaggi di phishing sono diventati più accurati. E i ricercatori sostengono che i messaggi di phishing più sofisticati sono ancora creati manualmente dai malintenzionati, che ora sfruttano la potenza della GenAI per aumentarne volume, scala e sofisticazione.
È fondamentale non fidarsi di nessun mittente, anche se l’email sembra provenire da qualcuno di conosciuto o autorevole. È necessario prestare molta attenzione ad altri segnali di phishing, come il senso di urgenza, un mittente inaspettato, la mancata corrispondenza tra il nome visualizzato e l’indirizzo email del mittente e la richiesta di pagamento o di dati sensibili.
La GenAI può essere fonte di data leak
Per aumentare la produttività, alcune persone condividono le proprie attività su siti di GenAI, in cerca di assistenza tecnica, di editing o di analisi dei dati. A volte, il loro lavoro coinvolge informazioni sensibili come codici sorgente, dati sui clienti, processi di produzione o ricette segrete.
Ciò che la maggior parte degli utenti non sa è che i siti di GenAI o le chatbot di AI possono memorizzare tutte le informazioni condivise con loro. Gli sviluppatori addestrano i chatbot AI con input e risposte degli utenti per migliorare le loro prestazioni. Di conseguenza, potrebbero accidentalmente condividere dati sensibili con altri utenti, sia all’interno che all’esterno dell’azienda, causando potenziali violazioni dei dati e mettendo a rischio la proprietà intellettuale.
Tutto ciò che viene inviato a una chatbot di GenAI pubblico può essere condiviso con altri. Per questo è importante non condividere informazioni o caricare dati sensibili, azione che. potrebbe comportare perdita della proprietà intellettuale, violazioni normative e di dati.
Le allucinazioni della GenAI dimostrano che gli output non sono sempre affidabili
Le chatbot di GenAI sembrano sapere tutto e all’inserimento di una domanda, offrono sempre risposte con un senso logico. Tuttavia, se una chatbot viene addestrata con dati imprecisi o distorti, le informazioni che genera possono essere di fatto sbagliate, false o imprecise.
Questo fenomeno è noto come allucinazione dell’AI. Esempi comuni sono:
- Informazioni sbagliate. Il testo o l’affermazione generata da una chatbot di AI sembra vera quando non lo è (o lo è parzialmente). Questa è una delle forme più comuni di allucinazione da AI.
- Informazioni false. La GenAI genera dati falsi su un’entità o una persona reale, inserendo elementi errati, che alcuni utenti potrebbero considerare veritieri.
- Incompletezza del contesto. Una chatbot di AI può generare un’affermazione generale senza fornire agli utenti tutte le informazioni necessarie. Ad esempio, se qualcuno chiedesse se è sicuro mangiare il burro di arachidi, la chatbot potrebbe non fornire dettagli sufficienti – come il rischio di una reazione allergica alle arachidi -per aiutare la persona a prendere una decisione.
Un sano scetticismo è d’obbligo su tutti i dati provenienti da una chatbot di AI. È consigliabile effettuare ricerche da altre fonti e verificare che tutto ciò che affermano sia vero e ricordare che molte chatbot non sono progettate per usi specifici, come ad esempio condurre ricerche scientifiche, citare leggi e casi o prevedere il tempo. Forniranno comunque una risposta, che potrebbe però non essere accurata.
La GenAI semplifica la creazione di deepfake
I deepfake sono immagini o video falsi generati dall’intelligenza artificiale e manipolati per sostituire il volto o la voce di una persona. Vengono creati da una tipologia di machine learning chiamato deep learning. Sebbene i deepfake siano emersi prima che gli strumenti di GenAI diventassero popolari, questi rendono la loro creazione più semplice ed economica poiché la GenAI utilizza algoritmi per generare contenuti basati su esempi e dati esistenti.
I deepfake sono diventati un’ottima arma per i criminali informatici per sferrare attacchi, soprattutto alle grandi aziende. Ad esempio, impersonando ruoli dirigenziali, come il CEO o il CFO, e utilizzando deepfake per forzare pagamenti fraudolenti. È solo questione di tempo prima che inizino a colpire aziende di ogni dimensione. Purtroppo, non esiste una tecnologia o una soluzione in grado di rilevare e bloccare efficacemente i deepfake dannosi.
L’approccio migliore è educare i dipendenti sui deepfake, stabilendo un processo interno e creando policy di mitigazione, ad esempio richiedendo sempre una convalida su un altro canale.
Il consiglio è quello di non fidarsi di nessuno, usando sempre il buon senso. E se qualcosa sembra strano, è opportuno segnalarlo al team di sicurezza.
La formazione degli utenti deve diventare parte integrante dell’impegno per la sicurezza
Secondo un vecchio proverbio cinese, “L’acqua che sostiene la barca può anche farla affondare”. Nel mondo attuale, c’è grande entusiasmo per la rivoluzione dell’AI generativa e il futuro promettente che può contribuire a creare. Tuttavia, è fondamentale non trascurare i rischi associati a questa tecnologia emergente.
Nel momento in cui si studiano strategie e priorità degli sforzi di sicurezza per affrontare i rischi dell’AI generativa, è importante che la formazione degli utenti faccia parte del piano. Con l’adozione sempre più diffusa delle chatbot di AI, i dipendenti devono conoscere vantaggi e rischi per poter proteggere meglio se stessi e la loro azienda.
Area Vice President, Sales SEUR, Proofpoint