¿Perder el sueño por las aplicaciones de IA generativa? No estás solo o equivocado. Según Astrix Security Research Group, las organizaciones medianas ya tienen, en promedio, 54 integraciones de IA generativa en sistemas centrales como Slack, GitHub y Google Workspace y se espera que este número crezca. Continúe leyendo para comprender los riesgos potenciales y cómo minimizarlos.
«Hola ChatGPT, revisa y optimiza nuestro código fuente»
«Hola, Jasper.ai, genera un correo electrónico de resumen de todos nuestros nuevos clientes netos de este trimestre»
«Hola Otter.ai, resume nuestra reunión de la junta de Zoom»
En esta era de turbulencia financiera, tanto las empresas como los empleados buscan constantemente herramientas para automatizar los procesos de trabajo y aumentar la eficiencia y la productividad mediante la conexión de aplicaciones de terceros a sistemas comerciales centrales como Google Workspace, Slack y GitHub a través de claves API, tokens OAuth, servicio cuentas y mas. El auge de las aplicaciones de IA generativa y los servicios GPT exacerba este problema, ya que los empleados de todos los departamentos agregan rápidamente las mejores y más recientes aplicaciones de IA a su arsenal de productividad, sin el conocimiento del equipo de seguridad.
Desde aplicaciones de ingeniería, como revisión y optimización de código, hasta aplicaciones de marketing, diseño y ventas, como creación de contenido y video, creación de imágenes y aplicaciones de automatización de correo electrónico. Con ChatGPT se convierte en la aplicación de más rápido crecimiento en el historial y las aplicaciones impulsadas por IA que se descargan 1506% más que el año pasadolos riesgos de seguridad de usar, y lo que es peor, conectar estas aplicaciones a menudo no examinadas a los sistemas centrales de la empresa ya está causando noches de insomnio para los líderes de seguridad.
 |
| La conectividad de aplicación a aplicación de su organización |
Los riesgos de las aplicaciones Gen-AI
Las aplicaciones basadas en IA presentan dos preocupaciones principales para los líderes de seguridad:
1. Intercambio de datos a través de aplicaciones como ChatGPT: El poder de la IA reside en los datos, pero esta misma fortaleza puede convertirse en una debilidad si no se gestiona correctamente. Los empleados pueden compartir involuntariamente información confidencial y crítica para el negocio, incluida la PII de los clientes y la propiedad intelectual como el código. Tales filtraciones pueden exponer a las organizaciones a violaciones de datos, desventajas competitivas y violaciones de cumplimiento. Y esto no es una fábula, solo pregúntale a Samsung.
Las filtraciones de Samsung y ChatGPT: un caso de precaución
Samsung informó tres filtraciones diferentes de información altamente confidencial por parte de tres empleados que usaron ChatGPT con fines de productividad. Uno de los empleados compartió un código fuente confidencial para comprobar si había errores, otro compartió un código para optimizar el código y el tercero compartió una grabación de una reunión para convertirla en notas de reunión para una presentación. ChatGPT ahora utiliza toda esta información para entrenar los modelos de IA y se puede compartir en la web.
2. Aplicaciones de IA generativa no verificadas: No todas las aplicaciones de IA generativa provienen de fuentes verificadas. La investigación reciente de Astrix revela que los empleados están conectando cada vez más estas aplicaciones basadas en IA (que generalmente tienen acceso de alto privilegio) a sistemas centrales como GitHub, Salesforce y similares, lo que genera importantes preocupaciones de seguridad.
 |
| La amplia gama de aplicaciones de IA generativa |
Ejemplo de la vida real de una integración arriesgada de Gen-AI:
En las imágenes a continuación se pueden ver los detalles de la plataforma astrix sobre una arriesgada integración Gen-AI que se conecta al entorno de Google Workspace de la organización.
Esta integración, Google Workspace Integration «GPT para Gmail», fue desarrollada por un desarrollador que no es de confianza y se le otorgó permisos elevados a las cuentas de Gmail de la organización:
Entre los alcances de los permisos otorgados a la integración se encuentra «mail.all», que permite que la aplicación de terceros lea, redacte, envíe y elimine correos electrónicos, un privilegio muy sensible:
Información sobre el proveedor de la integración, que no es de confianza:
Cómo astriz ayuda a minimizar sus riesgos de IA
Para navegar de forma segura por el emocionante pero complejo panorama de la IA, los equipos de seguridad necesitan una sólida gestión de identidad no humana para obtener visibilidad de los servicios de terceros a los que se conectan sus empleados, así como el control de los permisos y evaluar adecuadamente los posibles riesgos de seguridad. Con Astrix ahora puedes:
 |
| El mapa de conectividad de Astrix |
- Obtenga un inventario completo de todas las herramientas de IA que usan sus empleados y acceda a sus sistemas centrales, y comprenda los riesgos asociados con ellos.
- Elimine los cuellos de botella de seguridad con barandillas de seguridad automatizadas: comprenda el valor comercial de cada conexión no humana, incluido el nivel de uso (frecuencia, último mantenimiento, volumen de uso), el propietario de la conexión, quién en la empresa usa la integración y la información del mercado.
- Reduzca su superficie de ataque: asegúrese de que todas las identidades no humanas basadas en IA que acceden a sus sistemas centrales tengan acceso con privilegios mínimos, elimine las conexiones no utilizadas y los proveedores de aplicaciones que no son de confianza.
- Detecte actividades anómalas y corrija los riesgos: Astrix analiza y detecta comportamientos maliciosos, como tokens robados, abuso de aplicaciones internas y proveedores no confiables en tiempo real a través de IP, agente de usuario y anomalías en los datos de acceso.
- Remediar más rápido: Astrix quita la carga de su equipo de seguridad con flujos de trabajo de remediación automatizados, así como instruyendo a los usuarios finales sobre cómo resolver sus problemas de seguridad de forma independiente.