اعتماد ناآگاهانه تهدید نوظهور در جهان هوش مصنوعی

گفت‌وگو با محمدامین کریمان، مدیرعامل راورو

مریم آزادی طلب
انتشار: 18 خرداد سال 1404 ساعت 5:06
بدون نظر

در دنیایی که تهدیدات سایبری روزبه‌روز پیچیده‌تر می‌شوند، هوش مصنوعی به ابزاری کلیدی برای شناسایی و مقابله با آسیب‌پذیری‌های امنیتی تبدیل شده است. شرکت‌هایی مانند «راورو» تلاش می‌کنند از ظرفیت مدل‌های یادگیری ماشین برای تحلیل کد، فازینگ هوشمند، مستندسازی فنی و حتی تحلیل رفتاری کاربران بهره بگیرند. در این گفت‌وگو محمد‌امین کریمان، مدیر عامل راورو، از مخاطرات انسانی در عصر تعامل بی‌واسطه با ابزارهای هوش مصنوعی گفت.

کارنگ: راورو چگونه از هوش مصنوعی برای شناسایی و رفع آسیب‌پذیری‌های امنیتی در کسب‌وکارهای اینترنتی استفاده می‌کند؟

یکی از کاربردهای هوش مصنوعی در این حوزه، استفاده از مدل‌های یادگیری ماشین برای شناسایی آسیب‌پذیری‌های سورس‌کد یا تحلیل آسیب‌پذیری‌ها بر اساس منبع کد است. متخصصان با بهره‌گیری از ابزارهای هوش مصنوعی در تحلیل ایستای کد (Static Analysis) و تحلیل پویا (Dynamic Analysis) سریع‌تر و بهینه‌تر می‌توانند کدهای نرم‌افزار را بررسی کنند که این کار به شناسایی بهتر الگوی‌های آسیب‌پذیری، به آنها کمک فراوانی می‌کند.

فازینگ هوشمند نیز برای تولید مجموعه‌ای از داده‌ها و الگوهای جدید جهت بررسی و کشف رفتارهای غیرعادی سیستم استفاده می‌شود. متخصصان امنیت با کمک فازرها و الگوسازی‌های هوش مصنوعی، رفتارهای غیرعادی سیستم را تحلیل کرده و آسیب‌پذیری‌های جدید و پیچیده را شناسایی می‌کنند.

ابزارهایی که از هوش مصنوعی بهره می‌گیرند با ساخت و پیشنهاد پیلودهای پیشرفته امکان دور زدن محدودیت‌ها در فایروال و سازوکارهای امنیتی را در اختیار متخصصان امنیت قرار می‌دهد و بهره‌وری آن‌ها را در کشف آسیب‌پذیری‌ها افزایش می‌دهد. همچنین فرایند ساخت اکسپلویت‌های پیچیده با کمک ابزارهای هوش مصنوعی بسیار راحت‌تر و دردسترس‌تر شده است.

در راورو نیز از هوش مصنوعی برای تهیه گزارش، مستندسازی یا پیش‌نویس گزارش‌های فنی استفاده می‌شود. با بهره‌گیری از پردازش زبان طبیعی (NLP)، مدل‌هایی توسعه داده‌ایم که پیش‌نویس‌هایی با ساختار گرامری و فنی مناسب تولید می‌کنند که می‌تواند محتوای شیوایی برای مخاطب ایجاد کند.

کارنگ: آیا از هوش مصنوعی برای دسته‌بندی تهدیدها، ارزیابی سطح خطر یا پیشنهاد راهکار استفاده می‌کنید؟

استفاده از هوش مصنوعی برای ارائه پیشنهادهای امن‌سازی معمولاً منجر به ارائه راهکارهای عمومی می‌شود. در سامانه‌هایی که با ما همکاری می‌کنند به دلیل اینکه بیشتر برای کاربرد خاصی طراحی و پیاده‌سازی شده‌اند، اجزا یا جریان‌های کاری مختص به خود را دارند؛ بنابراین، استفاده از داده‌های عمومی برای ارائه راهکار از طریق هوش مصنوعی به‌تنهایی کارآمد نخواهد بود. برای کسب نتیجه بهتر متخصصین راورو که نسبت به سامانه و محصول دانش عمیق‌تری دارند، با طرح دقیق مسئله و تشریح جوانب آن، خروجی مناسبی از مدل هوش مصنوعی دریافت می‌کند.

کارنگ: سازمان‌ها چگونه می‌توانند هوش مصنوعی را در سیستم‌های امنیتی خود ادغام کنند؟

استفاده از هوش مصنوعی در سازمان‌ها برای ارتقای امنیت می‌تواند در حوزه‌های مختلفی کاربرد داشته باشد؛ از جمله تحلیل رفتار کاربران، ارتقا الگوهای تشخیص نفوذ (IPS و IDS)، ایجاد اتوماسیون فرایندهای پاسخ به حوادث (Incident Response) و خودکارسازی فرایندهایی ارتقا امنیت در حوزه‌های DevSecOps. ابزارهای مختلف مبتنی بر هوش مصنوعی می‌توانند به‌عنوان یک دستیار کارآمد به تیم امنیت سازمان کمک کنند تا وضعیت امنیت سامانه‌ها را دقیق‌تر و راحت‌تر پایش کنند و ارتقا دهند.

در سازمان‌های بزرگ، به دلیل گسترش زیاد خدمات و تنوع وندورهای مختلف، استفاده از ابزارهایی که بتوانند تمامی سامانه‌های مختلف را مدیریت کنند معمولاً با چالش همراه است. در این میان، ابزارهای کمکی مبتنی بر هوش مصنوعی می‌توانند به تیم‌های امنیتی کمک کنند تا عملکرد بهتری داشته باشند و با ارائه راهکارهایی مختص هر وندور، نصب وصله‌ها یا شناسایی حملات جدید را سریع‌تر و مؤثرتر انجام دهند.

کارنگ: مسائل مربوط به حریم خصوصی و امنیت داده‌ها در پیاده‌سازی هوش مصنوعی چگونه مدیریت می‌شوند؟

ابزارهای چت‌بات هوش مصنوعی که اغلب مردم از آنها استفاده می‌کنند، مثل سایر سامانه‌ها از فرض اولیه امنیت داده‌ها در اینترنت پیروی می‌کند. زمانی که از یک نرم‌افزار ثالث یا خارج از سازمان استفاده می‌کنید، تضمینی برای حفظ و نگهداری داده‌های شما وجود ندارد.

جمله رایج: «زمانی که داده‌ای را با یک سامانه در اینترنت به اشتراک می‌گذارید، باید آن را افشا شده در نظر بگیرید.» در این موارد هم صدق می‌کند. در این میان همواره چالشی وجود دارد که تا چه حد می‌توان داده‌های مرتبط با حریم خصوصی را در اختیار این ابزارها گذاشت و آیا این ابزارها نسبت به داده‌هایی که دریافت می‌کنند، تعهدی دارند یا خیر.

حتماً جمله مشهور «اگر برای محصول یا خدمتی پول پرداخت نمی‌کنید، پس خود شما محصول هستید» را شنیده‌اید. در واقع نمی‌توان پیش‌بینی کرد که ممکن است چه سوءاستفاده‌هایی از داده‌های کاربران صورت گیرد. بارها خبرهایی در خصوص فروش و یا سوءاستفاده از داده‌های رفتاری کاربران توسط شبکه‌های اجتماعی برای اهداف شنیده‌ایم.

چیزی که در مورد ابزارهای چت‌بات هوش مصنوعی، موضوع را جدی‌تر می‌کند فقط تحلیل رفتار و یا تحلیل محتوا مطرح نیست؛ بلکه بسیاری از کاربران خصوصی‌ترین پرسش‌های خود را با این ابزارها در میان می‌گذارند و این ابزارها با استفاده از الگوریتم‌هایی که دارند می‌توانند به شناخت عمیق و کامل از روحیات و خلقیات و عادات ما برسند، شناختی که شاید در زندگی عادی برای صمیمی‌ترین دوست‌های ما ممکن نباشد.

ازاین‌رو، اعتماد بیش از حد به این ابزارها ممکن است منجر به افشای داده‌های حیاتی شود که کاربردهای ثانویه و ناشناخته‌ای خواهند داشت. تعارض میان افزایش دقت پاسخگویی نسبت به جزئیات داده‌های دریافتی از کاربران و ناشناس‌سازی داده‌ها (در صورت ناشناس‌سازی دقت مدل کاهش پیدا می‌کند) باعث می‌شود که شرکت‌ها داده‌های کاربران را با جزئیات بیشتری ذخیره و یا پردازش کنند.

در این میان قربانی اصلی رقابت بین شرکت‌های حوزه هوش مصنوعی مطمئناً حریم خصوصی کاربران خواهند بود. رگولاتوری و قوانین حفاظت از داده‌های کاربران در حوزه هوش مصنوعی در سطح جهانی نیز هنوز به رویکرد جامع و دقیق نرسیده است؛ بنابراین، پیشنهاد می‌شود که کاربران در تعاملات خود، از ارائه داده‌های بسیار شخصی و مرتبط با حریم خصوصی به این ابزارها خودداری کنند. ممکن است این نگاه تا حدی سخت‌گیرانه تلقی شود، اما واقعیت است.

با فراگیرشدن ابزارهای هوش مصنوعی برای کاربران عمومی و شکل‌گیری ارتباطی عمیق میان کاربران و این ابزارها، کاربران در حال افشای باطن مجازی یا حتی حقیقی خود در تعامل با این ابزارها هستند. این داده‌ها نیز بدون شک ذخیره، پردازش، تحلیل می‌شوند، و هیچ تضمینی برای سوءاستفاده از آنها وجود ندارد.

در اینجا دیگر فقط از تحلیل رفتار یا نوع خرید کاربران صحبت نمی‌کنیم، بلکه از شناخت باطن افراد سخن می‌گوییم؛ اینکه فرد در خلوت خود به چه سؤالاتی می‌اندیشد، چه دغدغه‌هایی را دنبال می‌کند و چگونه به یک گفت‌وگو واکنش نشان می‌دهد. این مسئله در واقع دروازه‌ای برای ورود ابزارهای هوش مصنوعی به درون ذهن افراد است و می‌تواند به‌صورت بالقوه بسیار خطرناک باشد.

کارنگ: باتوجه‌به مهاجرت متخصصان هوش مصنوعی، چگونه استعدادهای مورد نیاز را در راورو جذب و حفظ می‌کنید؟

باتوجه‌به شرایط کشور، از جمله نوسانات ارزی، عدم ثبات در فضای کاری و چالش‌های اجتماعی، اغلب متخصصان مایل‌اند در خارج از کشور فعالیت کنند. در حوزه هوش مصنوعی که حوزه‌ای نوظهور است و تعداد متخصصان محدودتر است، جذب و حفظ نیروی کار بسیار دشواری است.

ما در راورو، با آغاز موج اولیه فراگیرشدن ابزارهای مرتبط با هوش مصنوعی، متوجه تغییرات سریع این حوزه شدیم و از متخصصان دعوت کردیم تا راهکارهای خود را برای استفاده از ظرفیت‌های هوش مصنوعی در زیرساخت‌های پلتفرم ارائه دهند. در حال حاضر نیز در بخش‌هایی از سامانه راورو، مثل گزارش‌نویسی، شناسایی آسیب‌پذیری‌ها از ابزارهای هوش مصنوعی استفاده می‌کنیم.

لینک کوتاه: https://karangweekly.ir/20dy

پلتفرم, رگولاتوری, شبکه اجتماعی, هوش مصنوعی, یادگیری ماشین

مریم آزادی طلب

مریم آزادی طلب هستم. مسیر تحصیلی‌ام را در رشته فیزیک در دانشگاه صنعتی شریف آغاز کردم و در فلسفه دانشگاه علامه طباطبایی به سرانجام رساندم. امروز در عرصه رسانه فعالیت می‌کنم. در تمام این سال‌ها، تلاش اصلی‌ام یک چیز بوده است: فهمیدن. گاهی از مسیر فرمول‌ها و داده‌ها، گاهی از مسیر تردید و تحلیل و حالا از خلال روایت و گفت‌وگو.