A sérülékenységek láncolata az MI-eszközök életciklusában
A biztonsági rések nem egyetlen ponton jelentkeznek, hanem a teljes eszközéletciklus során előfordulhatnak. Különbséget kell tenni a kiválasztási fázisban jelentkező fenyegetések (például eszközutánzás, adatmódosítás) és a végrehajtási szakaszban megjelenő problémák (például viselkedési változás, szerződésszegés) között. Ez azt is jelenti, hogy az MI-eszközök sebezhetőségei több, egymást erősítő rétegben vannak jelen.
Az artefaktum-integritás és a viselkedési integritás közti szakadék
Az elmúlt évtizedben szoftver-ellátási láncbiztonsági megoldások, például digitális aláírások, anyagjegyzékek és szoftverproveniencia-rendszerek kerültek bevezetésre. Ezek azonban csak azt igazolják, hogy a szoftver úgy néz ki, ahogyan le van írva, de nem garantálják, hogy úgy is viselkedik-e. A támadók könnyen átjutnak az ellenőrzéseken azzal, hogy a megadott leírásban például utasítják az MI-t, hogy mindig az adott eszközt részesítse előnyben. Minden, artefaktumokra vonatkozó ellenőrzés érintetlen marad, a háttérben azonban kártékony viselkedés fut.
Másik gyakori trükk, amikor a közzététel után hetekkel az eszköz szerveroldali működése megváltozik, például adatokat szivárogtat ki. Az eredeti aláírás és a proveniencia mind érvényes, viszont az eszköz már nem azt csinálja, mint korábban – a viselkedése eltorzult. Ha kizárólag a leírás integritását vizsgáljuk, ugyanazt a hibát követjük el, mint a 2000-es évek elején a HTTPS-tanúsítványokkal: garantált az azonosítás és az integritás, de a valódi bizalmi kérdést nem oldjuk meg.
Élő ellenőrzés: hogyan nézne ki a működés közbeni védelmi réteg?
Hatékony megoldásként egy ellenőrző proxy bevezetése javasolt, amely a modellkontextus-protokoll kliens (az MI-ügynök) és a szerver (az eszköz) között helyezkedik el. Minden eszközhívásnál a proxy három dolgot ellenőriz: egyrészt azt, hogy a kiválasztott eszköz ténylegesen egyezik-e a már elfogadott viselkedésleírással, így elkerülve a megtévesztő csere-manővereket; másrészt figyeli, hogy az eszköz csak az előzetesen engedélyezett végpontokra kapcsolódik-e, és gyanús hálózati forgalom esetén megszakítja az alkalmazást; végül pedig ellenőrzi a kimeneti séma érvényességét, vagyis hogy a válasz szerkezete és tartalma nem tér-e el a várttól, ezzel blokkolva a káros adat- vagy utasításbeillesztéseket.
A viselkedési specifikáció a legfontosabb újítás, amely géppel olvasható formában rögzíti, milyen külső végpontokat használhat az eszköz, milyen műveleteket végezhet el, és milyen mellékhatások engedélyezettek. A specifikáció része a digitálisan aláírt tanúsításnak is, így manipuláció esetén azonnal láthatóvá válik a módosítás.
Réteges védekezés: mit fog meg, és mit nem?
Az artefaktum-proveniencia főként a fejlesztői személyazonosság és a kiindulási állapot ellenőrzésére alkalmas, de nem véd a működés közbeni problémáktól. Az élő, futás közbeni ellenőrzés éppen ezeket a támadásokat (adatexfiltráció, viselkedési elhajlás, sémamanipuláció) ismeri fel, viszont önmagában nem képes összevetni az aktuális működést a kiinduló állapottal. Ezért mindkét védelmi réteget alkalmazni kell.
Hogyan lehet gyorsan, egyszerűen javítani a biztonságot?
Első lépésként az engedélyezett végpontok listáját kell kialakítani, és ezt kötelezővé tenni az összes eszközre. Egy egyszerű, hálózati forgalmat figyelő segédprogrammal már hatásos védelmet lehet elérni. A következő szinten a válaszsémák rendszeres ellenőrzése hozhat eredményeket, ezáltal kiszűrhetők a gyanús adatvisszaadások, kódok vagy utasítások. A legkockázatosabb eszközök – jelszókezelők, pénzügyi vagy személyes adatokkal foglalkozó modulok – esetében már az azonosítás-kiválasztás párosítását is érdemes bevezetni. Teljes körű viselkedési monitorozást csak ott érdemes alkalmazni, ahol ezt a kockázati szint ténylegesen indokolja.
Mindez arra utal, hogy a vállalati MI-ügynökök biztonsága nem biztosítható kizárólag digitális aláírásokkal és artefaktum-eredetiséggel. A valódi védelemhez együttesen kell működnie az előzetes ellenőrzésnek és az élő, rendszeres monitorozásnak, különben egyre kifinomultabb támadásokra kell számítani.
