סוכני ה-AI החדשים של מיקרוסופט, גוגל וחברות נוספות מבטיחים לחסוך לנו הרבה שעות עבודה: הם מתאמים פגישות, מסכמים מיילים, כותבים קוד ועורכים מסמכים. אך כדי לבצע משימות אלו, הם דורשים גישה ישירה לשירותים הרגישים ביותר שלנו: Gmail, Calendar, OneDrive, GitHub ו-Slack. השאלה היא כבר איננה אם טכנולוגיית הבינה המלאכותית אפשרית ויעילה, אלא עד כמה רחוק ראוי לאפשר לה להיכנס לארגון שלנו.
קשה להתעלם מהנוחות שסוכני AI מציעים, אך כל חיבור לשירות אישי הוא גם נקודת סיכון חדשה. דליפת טוקן OAuth (מפתח גישה דיגיטלי שמאפשר לאפליקציות לפעול בשמנו), פריצה לחשבון צד שלישי, או אפילו טעות אנוש פשוטה עלולים לחשוף תיבות דוא"ל ארגוניות, קוד רגיש או מידע עסקי חסוי לגורמים זרים.
האיומים האלה כבר לא תיאורטיים. מתקפות על חברות כמו Salesloft ו-Drift ניצלו הרשאות OAuth שמשתמשים אישרו כדי לגשת למידע רגיש, גם לאחר שהסיסמאות אופסו. לאחרונה, נחשפה פריצה שניצלה טוקן OAuth של שירותי AI כדי לגשת למיילים ארגוניים וליומנים. גם שילוב ChatGPT עם Google Calendar הוכח כפגיע ועלול היה לאפשר גניבת הודעות.
הבעיה היא שכל הביצים נמצאות בסל ה-AI - והן עלולות להיפרץ או להיחשף במהירות וללא כל התרעה מוקדמת.
בשטח מתגבשות חמש גישות עיקריות בקרב משתמשים:
החופשיים מעניקים גישה מלאה למען יעילות מקסימלית - הם נהנים מחיים דיגיטליים חלקים, אך לוקחים את הסיכון הגבוה ביותר.
המאוזנים מאפשרים גישה רק לשירותים ספציפיים, כמו תיבת מייל ולוח שנה, אך לא למסמכים או קוד, ומחפשים את נקודת האיזון.
הקפדנים נותנים גישה רק למסמך אחד או מייל מסוים בכל פעם, תוך שמירה על שליטה מוחלטת.
הזהירים עובדים עם AI רק על חומרים לא רגישים, כמו תבניות גנריות או מידע ציבורי.
ולבסוף, הבדלנים מסרבים לחבר את עוזרי ה-AI כלל - עבורם, גם הסוכן המאובטח ביותר הוא דלת פתוחה מדי לאיומים.
הפתרון טמון בגישה שנקראת Secure AI by Design - בינה מלאכותית שנבנית מלכתחילה עם שכבות הגנה, שקיפות ושליטה, ולא כתוספת מאוחרת. זה כולל הגדרה ברורה של תחומי גישה, ניטור קבוע של הרשאות AI מחוברות, ושימוש בסביבות סגורות עבור חומרים רגישים
הכיוון שאליו העולם הולך הוא כנראה היברידי. בעתיד הלא-רחוק סביר שלכל אחד מאיתנו תהיה מדיניות גישה ל-AI, בדומה למדיניות סיווג בארגונים ביטחוניים: רגיש מאוד - חסום לחלוטין, פנימי בלבד - גישה רק ל-AI מאובטח, כללי - ניתן לשיתוף.
לדעתי, הפתרון טמון בגישה שנקראת Secure AI by Design - בינה מלאכותית שנבנית מלכתחילה עם שכבות הגנה, שקיפות ושליטה, ולא כתוספת מאוחרת. זה כולל הגדרה ברורה של תחומי גישה, ניטור קבוע של הרשאות AI מחוברות, ושימוש בסביבות סגורות עבור חומרים רגישים.
ברור שלא נפסיק להשתמש ב-AI, היתרונות פשוט גדולים מדי, אבל נצטרך ללמוד להשתמש בו בחוכמה, בהדרגתיות, תוך שמירה על השליטה במה שיקר לנו באמת.
הכותב הוא מנכ"ל חברת CYGHT ומומחה ללוחמת סייבר
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו