کمیته رکن چهارم – پژوهشگران امنیت سایبری هشدار دادهاند که استفاده کارکنان از ابزارهای توسعه مبتنی بر هوش مصنوعی برای ساخت و انتشار اپلیکیشنهای سازمانی بدون نظارت واحدهای فناوری اطلاعات و امنیت، به یکی از مهمترین چالشهای امنیتی سازمانها تبدیل شده است.
به گزارش کمیته رکن چهارم، مفهوم «هوش مصنوعی سایه» که پیشتر بیشتر به وارد کردن اطلاعات حساس در سامانههای هوش مصنوعی محدود میشد، اکنون وارد مرحله جدیدی شده است. کارکنان با استفاده از ابزارهای توسعه مبتنی بر هوش مصنوعی، اپلیکیشنهای کامل ایجاد میکنند، آنها را به سامانههای عملیاتی سازمان متصل میسازند و روی اینترنت منتشر میکنند؛ بدون آنکه فرآیندهای امنیتی یا نظارتی متعارف روی این سامانهها اعمال شده باشد.
بر اساس گزارش جدیدی با عنوان «سازندگان سایه»، شرکت Red Access بیش از ۳۸۰ هزار دارایی وب عمومی مرتبط با پلتفرمهای توسعه مبتنی بر هوش مصنوعی را شناسایی کرده است. از میان این موارد، حدود ۵ هزار سامانه به سازمانها و شرکتها تعلق داشته و بیش از ۲ هزار مورد از آنها حاوی اطلاعات حساس سازمانی، عملیاتی یا شخصی بودهاند که بدون کنترل دسترسی مناسب در اینترنت در دسترس قرار داشتهاند.
بررسیها نشان میدهد در بسیاری از این سامانهها هر فردی که به نشانی اینترنتی دسترسی پیدا میکرد، بهصورت پیشفرض از سطح دسترسی مدیریتی برخوردار میشد. این وضعیت در سازمانهای مختلف و در صنایع گوناگون در سراسر جهان مشاهده شده و برای کشف آنها نیز نیازی به نفوذ یا بهرهبرداری پیچیده وجود نداشته است.
کارشناسان میگویند ابزارهای موسوم به «وایب کدنویسی» امکان ساخت نرمافزار را برای افراد فاقد دانش تخصصی برنامهنویسی فراهم کردهاند. در این مدل، کاربران تنها با توصیف نیاز خود میتوانند سامانههایی مانند داشبوردهای مدیریتی، سامانههای رهگیری، فرمهای سازمانی و ابزارهای تحلیلی را ایجاد و به منابع واقعی داده متصل کنند.
در بسیاری از موارد این سامانهها مستقیماً به زیرساختهای حیاتی سازمان از جمله سامانه مدیریت ارتباط با مشتری، سامانههای مالی، سیستمهای پشتیبانی، پایگاههای داده و ابزارهای تحلیل اطلاعات متصل میشوند و سپس بدون بررسی امنیتی روی اینترنت عمومی قرار میگیرند.
پژوهشگران تأکید میکنند مشکل اصلی لزوماً رفتار کارکنان یا خود پلتفرمهای هوش مصنوعی نیست، بلکه سرعت توسعه این فناوریها بسیار بیشتر از رشد سازوکارهای نظارتی و امنیتی بوده است. به همین دلیل بسیاری از سازمانها حتی در حالی که ممیزیهای امنیتی را با موفقیت پشت سر میگذارند، از وجود چنین سامانههایی در محیط عملیاتی خود بیاطلاع هستند.
کارشناسان امنیتی توصیه میکنند سازمانها مسیرهای رسمی برای ثبت، مدیریت و نظارت بر پروژههای توسعهیافته با هوش مصنوعی ایجاد کنند، پلتفرمهای مجاز را مشخص سازند، سیاستهای دسترسی به دادهها را تعریف کنند و کنترلهای احراز هویت را به حداقل الزامات اجباری تبدیل نمایند.
به گفته پژوهشگران، این تهدید دیگر به نرمافزارهای تأییدنشده محدود نمیشود، بلکه با ظهور نسل جدید ابزارهای هوش مصنوعی، کارکنان میتوانند ظرف چند ساعت سامانههایی بسازند که مستقیماً به دادهها و فرآیندهای حیاتی سازمان متصل شوند. به همین دلیل پایش مستمر این محیطها به یکی از الزامات اصلی امنیت سایبری در سازمانهای مدرن تبدیل شده است.
منبع: The Hacker News
