AWS Summit Bangkok 2024: ความเสี่ยงจากการใช้ AI และวิธีการป้องกัน

เนื้อหาในบทความนี้สรุปมาจาก Session [Navigating cloud security in the digital era] ในงาน AWS Summit Bangkok 2024

ความเสี่ยงจากการใช้ AI

การใช้ AI อย่างผิดวิธี อาจก่อให้เกิดปัญหาตามมาได้ ไม่ว่าจะเป็นทั้งสำหรับผู้ใช้ หรือผู้ที่เป็นเจ้าของ AI นั้นก็ตาม โดยความเสี่ยงนี้แบ่งออกได้เป็น 2 ประเภท คือ internal risk และ external risk

Internal Risk

Shadow AI

Shadow AI คือการใช้ AI ที่ไม่ได้รับอนุญาตให้ใช้โดยพลการ ซึ่งอาจส่งผลเสียต่อองค์กรได้

โดยปกติแล้วการจะนำ AI ใด ๆ มาใช้ในองค์กร ควรจะต้องมีการตรวจสอบ AI นั้นก่อนในหลาย ๆ ด้าน เช่น มีช่องโหว่หรือไม่ มีความปลอดภัยมากแค่ไหน ความน่าเชื่อถือของข้อมูลที่ AI ตอบกลับมา รวมถึงในบางสถานการณ์ พนักงานในองค์กรบางคนอาจป้อนข้อมูลขององค์กรเข้าไปเป็น input ให้แก่ AI เพื่อคาดหวังคำตอบที่ถูกต้องมากยิ่งขึ้น หาก AI ที่พนักงานรายนั้นใช้ไม่ได้ผ่านการตรวจสอบก่อนอาจก่อให้เกิดปัญหาหลาย ๆ ตามมาได้

องค์กรอาจตรวจสอบ AI ต่าง ๆ ก่อนที่พนักงานจะนำมาใช้ จากนั้นจึงพิจารณาว่าสามารถใช้ได้หรือไม่ หากใช้ได้แล้วมีข้อจำกัดใดที่ควรปฏิบัติตามหรือไม่ เป็นต้น

ปัญหาจากการใช้ AI เช่น

• ใช้ AI generate code แต่ code ที่ได้มีช่องโหว่
• เผลอมอบข้อมูลที่ไม่ควรมอบ (เช่น ข้อมูลลับขององค์กร, credentials ต่าง ๆ) ให้กับ AI

External Risk

Misalignment

misalignment คือการโน้มน้าวให้ AI ตอบคำถามแบบมี bias ทำให้เกิดความเสียหาย เช่น

• การเปิดให้ผู้ใช้งานมอบ feedback ให้กับคำตอบจาก AI แล้วให้ AI นำ feedback เหล่านั้นไปใช้ หากผู้ใช้งานรวมกลุ่มกันมอบ feedback ผิด ๆ ให้กับ AI จะทำให้ AI ตอบข้อมูลผิด ๆ ตาม feedback นั้นด้วยความมั่นใจที่สูงมาก

Prompt Injection

prompt injection คือการจงใจมอบ prompt เพื่อให้ AI ทำในสิ่งที่ไม่ควรทำ หรือทำในสิ่งที่โดยปกติแล้วไม่ได้ถูกโปรแกรมมาให้ทำ เช่น

• หลอกให้ AI เขียน malware ให้โดยใช้ prompt ที่อ้างว่าจะนำไปใช้เพื่อการศึกษา (ซึ่งโดยปกติแล้ว AI จะถูกโปรแกรมมาไม่ให้เขียน code เหล่านี้)

Jailbreak

jailbreak จะคล้าย ๆ prompt injection แต่จุดประสงค์ของ jailbreak คือการควบคุม AI แบบเบ็ดเสร็จ สามารถสั่งให้ AI ทำอะไรก็ได้ที่ต้องการ รวมถึงนำข้อมูลที่เป็นความลับออกมาเผยแพร่ด้วย

prompt ที่นิยมใช้สำหรับ jailbreak AI (ซึ่งปัจจุบันคิดว่าน่าจะถูกแก้ไขแล้ว) เช่น The Development Mode Prompt ที่จะหลอกให้ AI เชื่อว่าปัจจุบันตัวมันอยู่ใน development mode ทุก ๆ คำตอบที่สร้างขึ้นมาจะไม่มีผลกระทบใด ๆ ทั้งสิ้น และ AI จะทิ้งข้อจำกัดทุกอย่างที่เคยมีอยู่และตอบคำถามทุกอย่างที่ถูกถาม

วิธีป้องกัน AI ให้ปลอดภัย

เมื่อ AI ตกเป็นเป้าโจมตี สิ่งที่ผู้ไม่หวังดีต้องการจากการโจมตีก็คงหนีไม่พ้น data ที่ AI มีอยู่ เพราะฉะนั้นในการป้องกัน AI ของเราให้ปลอดภัยจาก data exfiltration เราจะต้องปกป้อง 3 ส่วนนี้

1. AI-SPM

AI-SPM คือการป้องกันตัว data ที่ใช้งานโดย AI เพื่อให้มั่นใจว่า data เหล่านี้มีความถูกต้อง ไม่ถูกดัดแปลงแก้ไขใด ๆ รวมถึงไม่มีการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่ง AI-SPM ประกอบไปด้วย 3 ส่วน ดังนี้

Auto Discovery

คอยค้นหาข้อมูลที่ AI ใช้งานว่าเป็นข้อมูลเก่าหรือข้อมูลใหม่ หรือเป็นข้อมูลที่ถูกสำรองไว้ (snapshot) แล้วในข้อมูลเหล่านั้นมีอะไรอยู่

Classification

แบ่งประเภทของข้อมูลที่ตรวจเจอจากขั้นตอน Auto Discovery โดยอาจแบ่งโดยใช้เกณฑ์ที่ว่าข้อมูลนั้นเป็นไปตาม regulatory ขององค์กรหรือไม่, เป็นข้อมูลส่วนตัว (เช่น PII) หรือไม่, หรือใช้เกณฑ์อื่น ๆ ตามความเหมาะสม เพื่อควบคุมการเข้าถึงข้อมูลของ AI

Risk Assessment

ทำการประเมินความเสี่ยงรวมถึงปัจจัยต่าง ๆ ที่อาจก่อให้เกิดความเสี่ยงที่จะทำให้เกิด data exfiltration ขึ้น โดย risk assessment ก็จะแบ่งออกเป็น 2 ส่วนย่อย ๆ อีก ดังนี้

1. Static Risk Identification: คือการประเมินความเสี่ยงของตัว data เอง เช่น

• data นั้นมีความสำคัญไหม ถ้ามีความสำคัญ ได้มีการทำ encryption ให้กับ data นั้นหรือเปล่า
• data นั้นมี backup หรือไม่ หากมีแล้วได้ทำ encryption ให้กับ backup ไว้ด้วยไหม
• กรณีที่ลบ data ไปแล้ว data ที่ถูกลบจะโดนย้ายไปอยู่ที่ไหน นานเท่าไหร่ สามารถกู้กลับมาได้หรือไม่
• data นั้นถูกออกแบบให้ต้องทำ authentication และ authorization ก่อนเข้าถึงหรือไม่

2. Real-Time Data Detection and Response (DDR): คือการสอดส่องเหตุการณ์ที่เกิดขึ้นกับ data แบบ real-time เพื่อให้สามารถตอบสนองกับเหตุการณ์นั้น ๆ ได้อย่างทันท่วงที เช่น

• ใครเข้าถึง data เมื่อไหร่ ผ่านช่องทางไหน
• เมื่อได้ data ไปแล้ว การใช้งาน data เป็นไปตาม policy ที่กำหนดไว้หรือเปล่า เช่น policy อนุญาตให้อ่านอย่างเดียว แต่กลับมีการคัดลอก data ออกไป

เมื่อมีพฤติกรรมการเข้าถึงข้อมูลแปลก ๆ อาจทำการส่งอีเมลแจ้งเตือนไปยังผู้ที่เกี่ยวข้องเพื่อให้สามารถรับมือกับสถานการณ์ได้ในทันที

2. Security Posture

security posture คือการป้องกัน host ของ AI รวมถึง data silo ที่ AI ใช้งาน ว่าไม่มีช่องโหว่หรือ vulnerability ใด ๆ รวมถึงในกรณีที่มีการใช้งาน SaaS ก็จะต้องตรวจสอบความปลอดภัยของ SaaS นั้นด้วย

3. Configuration Security

configuration security คือการป้องกัน code ที่ใช้สร้าง AI ขึ้นมา ว่า code ดังกล่าวถูกฝังพวก malicious code เอาไว้หรือเปล่า, ใน source code มี credentials ถูก hardcode เอาไว้หรือเปล่า, รวมถึงมีช่องโหว่หรือ vulnerabilities ใน library ที่ AI ใช้อยู่หรือเปล่าเป็นต้น

เราสามารถเพิ่มความปลอดภัยในส่วนนี้ได้โดยการสร้าง security gates ให้กับกระบวนการ CI/CD ของ AI เพื่อคอยตรวจสอบในแต่ละขั้นตอนว่ามีอะไรแปลก ๆ เกิดขึ้นใน AI ของเราระหว่างแต่ละขั้นตอนหรือไม่ Static Risk Identification: คือการประเมินความเสี่ยงของตัว data เอง เช่น

อ้างอิง

1. Securing generative AI: An introduction to the Generative AI Security Scoping Matrix | AWS Security Blog
2. AWS re:Invent 2023 - Generative AI: Cyber resiliency and risk (AIM202) - YouTube