تواجه المنظمات تحديات متزايدة في حوكمة الذكاء الاصطناعي، خاصة مع تزايد استخدام أدوات الذكاء الاصطناعي بين الموظفين. في هذا المقال، نستعرض كيف تتعامل Tenable مع هذه التحديات.
مع تزايد استخدام أدوات الذكاء الاصطناعي بين الموظفين بشكل يفوق تطوير السياسات اللازمة لإدارة استخدامها بشكل آمن، تزداد مخاوف المنظمات بشأن حوكمة الذكاء الاصطناعي. السيطرة على استخدام بيانات الشركة لتدريب نماذج الذكاء الاصطناعي ومراقبة “الذكاء الاصطناعي الخفي” تمثل مخاوف كبيرة.
ردًا على هذه المخاوف، أصدرت Tenable منتج Tenable One AI Exposure كجزء من مجموعة إدارة التعرض السحابية Tenable One للكشف عن استخدام منصات الذكاء الاصطناعي الوكيلة والتوليدية (AI) عبر جميع البنية التحتية للمؤسسات، بما في ذلك خدمات السحابة وتطبيقات SaaS. تم تصميم الإضافة، التي تم تقديمها في الأصل العام الماضي، للكشف عن متى يستخدم الموظفون أدوات الذكاء الاصطناعي غير المعتمدة أو يشاركون في أنشطة تشكل خطر تسرب البيانات. كما أنها تربط استخدام منصات الذكاء الاصطناعي والوكلاء والمكتبات وسير العمل مع البنية التحتية للمؤسسة والهوية والبيانات، وتهدف إلى تطبيق السياسات على مستوى المؤسسة التي تحكم استخدام الذكاء الاصطناعي.
بينما تم تصميمه لجميع منصات الذكاء الاصطناعي، فإن الإطلاق الأولي يحتوي حاليًا على قدرات كشف أعمق لأداة Copilot من Microsoft وChatGPT من OpenAI. ستوفر تحديثات قادمة دعمًا أوسع لجيميني من Google، مع وجود منصات رئيسية أخرى ستتبع، حسبما قال إريك دور، كبير مسؤولي المنتجات في Tenable.
توسيع فحص الثغرات للعثور على استخدام الذكاء الاصطناعي
منذ إصدار النسخة التجريبية من قدرة إدارة التعرض للذكاء الاصطناعي الصيف الماضي، دمجت Tenable منصة Apex Security التي استحوذت عليها حديثًا، والتي تجمع البيانات، وتقوم بتحليل السلوك لتطبيق سياسات الذكاء الاصطناعي وتدير استخدام نماذج الذكاء الاصطناعي. استحوذت Tenable على Apex Technology العام الماضي، مما يشير إلى أنها ستدمج تلك القدرات في Tenable AI Aware، وهي قدرة ستضاف في عام 2024، تهدف إلى اكتشاف الثغرات في تطبيقات الذكاء الاصطناعي والمكتبات والإضافات.
“الكثير من عملائنا يستخدموننا بالفعل لفحص الثغرات، والآن قمنا بتوسيع تلك الفاحصات لتبحث عن آثار استخدام الذكاء الاصطناعي عبر المؤسسة،” يقول دور.
يضيف دور أن Tenable One AI Exposure مصمم لاكتشاف وتحديد وتحديد أولويات المخاطر المرتبطة بكل تعرض للذكاء الاصطناعي، سواء كان مرتبطًا بجهاز الكمبيوتر المنزلي للموظف أو كان النموذج محليًا أو مستندًا إلى السحابة.
كما يقوم Tenable One AI Exposure برسم سير عمل الذكاء الاصطناعي ويظهر كيف ترتبط النماذج بالبنية التحتية للمؤسسة وخدمات السحابة وأنظمة التحكم في الوصول، وفقًا لتدوينة Tenable. تهدف هذه الميزة إلى مساعدة فرق الأمان على اكتشاف ما هو أبعد من وجود الذكاء الاصطناعي من خلال الكشف عن الأماكن التي يتم فيها إنشاء التعرض للذكاء الاصطناعي.
كما أنه يكشف عن إساءة استخدام الموظفين للذكاء الاصطناعي ويطبق السياسات، مما يضمن استخدامهم فقط للأدوات المعتمدة، ويضمن أن أي أداة تستدعي خدمة أو وكيل ذكاء اصطناعي داخلي لا تسمح بالوصول غير المصرح به إلى البيانات الحساسة. تم تصميمه للكشف عن أي تكوين خاطئ أو تعرض.
بالإضافة إلى مراقبة الاستخدام غير الآمن أو إساءة استخدام الذكاء الاصطناعي، يقوم Tenable One AI Exposure أيضًا بإصلاح أي تهديدات تم اكتشافها من خلال الأتمتة، وفقًا لدور. يتم معالجة التحديثات الروتينية بواسطة Tenable Patch Management، الأداة الخاصة بالبائع لأتمتة تحديثات تصحيح تكنولوجيا المعلومات.
عند التعامل مع التهديدات الأكثر تعقيدًا، تقول Tenable إن قدرات أتمتة سير العمل لديها تمكّن فرق الأمان من الاستعلام عن مشكلات محددة تم اكتشافها وإنشاء تذاكر في ServiceNow أو Jira.
سطح هجوم جديد مهم
حققت Tenable تقدمًا كبيرًا في دمج أمان الذكاء الاصطناعي في منصة إدارة التعرض الخاصة بها، لكنها ليست وحدها في معالجة المخاطر المتزايدة التي تثيرها استخدام الموظفين لأحدث الأدوات، وفقًا للمحلل الرئيسي في Omdia، أندرو براونبرغ.
“معظم القادة في هذا المجال قد انتقلوا، أو ينتقلون، في هذا الاتجاه،” يقول براونبرغ. “الذكاء الاصطناعي التوليدي/الوكيل هو سطح هجوم جديد مهم يجب معالجته في هذه الحلول الشاملة التي غالبًا ما تستفيد من سير عمل تصحيح شائع. “
من بين منافسي Tenable الذين بدأوا في التركيز على تأمين استخدام الذكاء الاصطناعي هم CrowdStrike وRapid7 وWiz. أضافت CrowdStrike ميزة اكتشاف الذكاء الاصطناعي إلى مجموعة إدارة التعرض الخاصة بها، وهي قدرة تحدد وتراقب مكونات الذكاء الاصطناعي، بما في ذلك نماذج اللغة المحلية أو المستضافة في الحاويات والمساعدات المستندة إلى المتصفح. قدمت Rapid7 العام الماضي ميزة Agentic AI Patrol إلى منصة Exposure Command الخاصة بها، وهي قدرة مصممة لتحديد وإصلاح بنية الذكاء الاصطناعي، بينما وسعت Wiz مؤخرًا حلول التعرض الخاصة بها لتشمل الرؤية والإصلاح لبنية الذكاء الاصطناعي الوكيلة. يقول براونبرغ إن القدرات الجديدة لـ Wiz مدمجة مباشرة في إدارة وضع أمان الذكاء الاصطناعي (AI-SPM) ومنصة CNAPP الأوسع.
مع تزايد استخدام الذكاء الاصطناعي، يصبح من الضروري على المنظمات تعزيز سياساتها لحماية بياناتها وضمان الاستخدام الآمن لتقنيات الذكاء الاصطناعي. تابعونا لمزيد من التحديثات حول هذا الموضوع.
