ИИ махмурлукът е тук – краят на началото

След една добра година на продължително оживление, махмурлукът най-накрая настъпи. Той е лек (засега), тъй като пазарът коригира цената на акциите на основните играчи (като Nvidia, Microsoft и Google), докато другите играчи правят преоценка на пазара и коригират приоритетите си. Gartner го нарича „коритото на разочарованието“, когато интересът намалява, а внедряванията не успяват да осигурят обещаните пробиви. Производителите на технологията се разклащат или фалират. Инвестициите продължават само ако оцелелите доставчици подобрят продуктите си до степен, удовлетворяваща ранните потребители.

Нека да сме наясно, че случаят винаги е щял да бъде такъв: постчовешката революция, обещана от мажоретките на ИИ, никога не е била реалистична цел, а невероятното вълнение, предизвикано от първите LLM, не се основаваше на пазарен успех.

ИИ е тук, за да остане

Какво следва за ИИ тогава? Е, ако следваме цикъла на Gartner, дълбокият срив е последван от склона на просветлението, където съзряващата технология си възвръща позициите, ползите изкристализират и доставчиците пускат на пазара продукти от второ и трето поколение. И ако всичко върви добре, следва свещеното плато на производителността, където масовото приемане започва благодарение на широката пазарна привлекателност на технологията. Gartner настоява, че има няколко големи „ако“: не всяка технология е обречена да се възстанови след срива и важното е продуктът да намери достатъчно бързо своето пазарно приложение.

В момента изглежда почти сигурно, че изкуственият интелект е тук, за да остане. Apple и Google пускат на пазара потребителски продукти, които преопаковат технологията в по-малки, лесно смилаеми и лесни за използване части (редактиране на снимки, редактиране на текст, разширено търсене). Макар че качеството все още е много неравномерно, изглежда, че поне някои играчи са намерили начин да създадат продукти с генеративен ИИ по начин, който е смислен – както за потребителите, така и за собствените им резултати.

 

Какво направи за нас магистратурата по право?

Добре, а къде остават корпоративните клиенти – и по-специално приложенията за киберсигурност? Факт е, че генеративният изкуствен интелект все още има значителни недостатъци, които възпрепятстват приемането му в голям мащаб. Един от тях е фундаментално недетерминистичният характер на генеративния ИИ. Тъй като самата технология се основава на вероятностни модели (характеристика, а не грешка!), ще има отклонение в резултатите. Това може да изплаши някои ветерани от индустрията, които очакват поведение на софтуер от старата школа. Това също така означава, че генеративният ИИ няма да бъде заместител на съществуващите инструменти – по-скоро е подобрение и допълнение към съществуващите инструменти. Все пак той има потенциала да изпълнява ролята на един слой от многопластова защита, която е трудна за предвиждане и за нападателите.

 

Другият недостатък, който затруднява приемането, е цената. Обучението на моделите е много скъпо и тази висока цена понастоящем се прехвърля върху потребителите на моделите. Вследствие на това се обръща голямо внимание на намаляването на разходите за една заявка. Хардуерният напредък, съчетан с пробивните резултати в усъвършенстването на моделите, обещава значително намаляване на потреблението на енергия за работа на моделите с изкуствен интелект и има основателни очаквания, че (поне текстово базираната продукция) ще се превърне в печеливш бизнес.

По-евтините и по-точни модели са чудесни, но също така все повече се осъзнава, че задачата за интегриране на тези модели в организационните работни процеси ще бъде значително предизвикателство. Като общество все още не разполагаме с опита, за да знаем как ефективно да интегрираме технологиите на ИИ в ежедневните работни практики. Съществува и въпросът как съществуващата човешка работна сила ще приеме и ще работи с новите технологии. Например, виждали сме случаи, в които човешки работници и клиенти предпочитат да взаимодействат с модел, който предпочита обяснителността пред точността. Проучване от март 2024 г. на Харвардското медицинско училище установи, че ефектът от помощта на ИИ е непоследователен и варира в тестова извадка от рентгенолози, като работата на някои рентгенолози се подобрява с ИИ, а при други се влошава. Препоръката е, че макар инструментите на ИИ да се въвеждат в клиничната практика, трябва да се прилага нюансиран, персонализиран и внимателно калибриран подход, за да се осигурят оптимални резултати за пациентите.

Какво ще кажете за пазарното съответствие, което споменахме по-рано? Макар че генеративният ИИ (вероятно) никога няма да замени програмиста (независимо от това, което твърдят някои компании), подпомаганото от ИИ генериране на код се е превърнало в полезен инструмент за създаване на прототипи за различни сценарии. Това вече е полезно за специалистите по киберсигурност: генерираният код или конфигурация е разумна отправна точка за бързо изграждане на нещо, преди да го усъвършенствате.

Огромната уговорка: съществуващата технология има шанс да ускори работата на опитен специалист, който може бързо да отстрани грешките и да поправи генерирания текст (код или конфигурация). Но тя може да бъде потенциално катастрофална за потребител, който не е ветеран в тази област: винаги има шанс да се генерира опасна конфигурация или несигурен код, който, ако си проправи път към производството, би понижил позицията на организацията по отношение на киберсигурността. Така че, както всеки друг инструмент, той може да бъде полезен, ако знаете какво правите, и може да доведе до отрицателни резултати, ако не знаете.

Тук трябва да предупредим за една особена характеристика на сегашното поколение инструменти за генеративен ИИ: те звучат измамно уверено, когато обявяват резултатите. Дори текстът да е откровено погрешен, всички настоящи инструменти го предлагат по самоуверен начин, който лесно подвежда начинаещите потребители. Така че, имайте предвид: компютърът лъже за това колко е сигурен и понякога много греши.

Друг ефективен случай на използване е поддръжката на клиенти, по-точно поддръжката от първо ниво – възможността да се помогне на клиенти, които не си правят труда да прочетат ръководството или публикуваните често задавани въпроси. Един съвременен чатбот може разумно да отговаря на прости въпроси и да пренасочва по-сложни запитвания към по-високи нива на поддръжка. Макар че това не е съвсем идеално от гледна точка на клиентското преживяване, спестяването на разходи (особено за много големи организации с много необучени потребители) може да бъде значимо.

Несигурността около начина, по който ИИ ще се интегрира в бизнеса, е от полза за индустрията на консултантите по управление. Например, Boston Consulting Group вече получава 20% от приходите си от проекти, свързани с ИИ, докато McKinsey очаква 40% от приходите им да дойдат от проекти, свързани с ИИ, през тази година. Други консултантски компании като IBM и Accenture също са на борда. Бизнес проектите са доста разнообразни: улесняване на превода на реклами от един език на друг, подобрено търсене за обществени поръчки при оценка на доставчици и закалени чатботове за обслужване на клиенти, които избягват халюцинации и включват препратки към източници за повишаване на надеждността. Въпреки че само 200 от 5000 запитвания на клиенти минават през чатбота в ING, може да се очаква, че този брой ще се увеличи с повишаване на качеството на отговорите. Аналогично на еволюцията на търсенето в интернет, може да си представим повратна точка, в която ще се превърне в реакция „да попиташ бота“, вместо сам да се ровиш в блатото на данните.

Управлението на изкуствения интелект трябва да отговаря на проблемите на киберсигурността

Независимо от конкретните случаи на употреба, новите инструменти на ИИ носят цял нов набор от главоболия, свързани с киберсигурността. Подобно на RPA в миналото, чатботовете, насочени към клиентите, се нуждаят от машинни идентичности с подходящ, понякога привилегирован достъп до корпоративните системи. Например, чатботът може да се нуждае от възможност да идентифицира клиента и да изтегли някои записи от CRM системата – което веднага трябва да предизвика тревога у ветераните в областта на IAM. Задаването на точен контрол на достъпа до тази експериментална технология ще бъде ключов аспект от процеса на внедряване.

Същото важи и за инструментите за генериране на код, използвани в процесите Dev или DevOps: задаването на правилен достъп до хранилището за код ще ограничи радиуса на взрива, в случай че нещо се обърка. То също така намалява ефекта от потенциално нарушение, в случай че самият инструмент за изкуствен интелект се превърне в отговорност за киберсигурността.

И, разбира се, винаги съществува рискът от трети страни: като въвеждат такъв мощен, но малко разбран инструмент, организациите се отварят за противници, които изследват границите на технологията LLM. Относителната липса на зрялост тук може да се окаже проблематична: все още не разполагаме с най-добри практики за укрепване на LLM, така че трябва да се уверим, че те нямат права за писане на чувствителни места.

Възможностите за изкуствен интелект в IAM

На този етап случаите на употреба и възможностите за AI в контрола на достъпа и IAM се оформят и се предоставят на клиентите в продукти. Традиционните области на класическия МЛ, като извличане на информация за роли и препоръки за права, се преразглеждат в светлината на съвременните методи и потребителски интерфейси, като създаването и развитието на роли е по-плътно вплетено в готовите работни процеси и потребителски интерфейси за управление. По-новите иновации, вдъхновени от изкуствения интелект, като анализ на групи от равнопоставени партньори, препоръки за решения и управление, основано на поведението, се превръщат в нещо обичайно в света на управлението на идентичността. Клиентите вече очакват технологиите от точките на прилагане, като системите за управление на достъпа SSO и системите за управление на привилегировани акаунти, да предлагат задвижвано от AI откриване на аномалии и заплахи въз основа на потребителското поведение и сесии.

Интерфейсите на естествен език започват значително да подобряват UX във всички тези категории IAM решения, като позволяват интерактивен обмен на информация на естествен език със системата. Все още се нуждаем от статични отчети и информационни табла, но възможността лица с различни отговорности и нужди да се изразяват на естествен език и да прецизират интерактивно резултатите от търсенето понижава уменията и обучението, необходими, за да се гарантира, че организациите реализират стойност от тези системи.

Това е краят на началото

Едно нещо е сигурно: каквото и да е състоянието на технологиите за изкуствен интелект в средата на 2024 г., това няма да е краят на тази област. Генеративният ИИ и LLM са само една от подобластите на ИИ, като множество други области, свързани с ИИ, отбелязват бърз напредък благодарение на напредъка в хардуера и щедрото финансиране на научни изследвания от страна на правителствата и частния сектор.

Каквато и форма да приеме зрелият, готов за използване в предприятията ИИ, ветераните в областта на сигурността вече трябва да обмислят потенциалните ползи, които генеративният ИИ може да донесе на тяхната защитна позиция, какво могат да направят тези инструменти, за да пробият дупки в съществуващите защити, и как можем да ограничим радиуса на взрива, ако експериментът се обърка.

Забележка: Тази експертно написана статия е дело на Робърт Бърн, полеви стратег в One Identity. Роб има повече от 15 години опит в областта на ИТ, като е заемал различни длъжности, като разработване, консултиране и технически продажби. Кариерата му е съсредоточена предимно върху управлението на идентичността. Преди да се присъедини към Quest, Роб е работил в Oracle и Sun Microsystems. Той притежава бакалавърска степен по математика и информатика.

 

Източник: The Hacker News