Bloquee sus LLM: desconecte

Suena a ciencia ficción, pero con todo el revuelo en torno a la IA, vale la pena hablar del peligro de "secuestro".

Dice así: las empresas que pueden permitirse el lujo de crear sus propios LLM internos arrojan toda su valiosa propiedad intelectual (propiedad intelectual, que abarca todo, desde diseños de secretos comerciales hasta campañas de marketing y estrategias de productos) en el modelo para que genere respuestas relevantes. Esencialmente, si bien sigue siendo un modelo de IA no inteligente, también es un depósito de toda la información más valiosa que tiene la empresa.

Esto lo convierte en un objetivo fantástico para un atacante criminal o incluso para un competidor poco ético. Si se puede envenenar para generar malas respuestas, clonarlo para brindarle al atacante más conocimiento interno del que sabe qué hacer con él, o incluso bloquearlo de alguna manera para pedir un rescate, entonces puede causar una gran cantidad de daño a la empresa.

Las empresas luchan por proteger sus sistemas y los titulares habituales muestran que grandes empresas sufren ataques. Un modelo de LLM que contenga todo lo relacionado con la empresa se convertirá rápidamente en el blanco favorito del "secuestro" virtual.

Ya sea que se trate de adaptar el ransomware para cifrar modelos, exfiltrarlos y destruir la copia local, o convertirlos en una amenaza interna (por ejemplo, si el LLM se ha integrado con los sistemas de facturación y finanzas de la empresa sin una supervisión humana efectiva), el potencial por el daño es dramático.

Para empeorar las cosas, el valor de estos modelos vendrá de su disponibilidad y accesibilidad dentro de la empresa. Si nadie puede utilizarlos, no son más que un sumidero de recursos. Deben utilizarse de forma eficaz para que tengan valor, y eso significa que deben ser accesibles. ¿Cómo combinamos la necesidad de disponibilidad con la necesidad de seguridad en estos sistemas?

¿Es suficiente la seguridad del software?

¿Quizás las redes definidas por software podrían ser una solución? El problema es que cualquier solución de software es inherentemente vulnerable a verse comprometida. Y si estamos hablando de un LLM que se ha integrado con sistemas administrativos (esto ya se está haciendo, la ética y los riesgos de esto son un artículo completo en sí mismos, tal vez un libro), entonces sería la simplicidad misma para un malicioso parte para incitar a la IA a crear una vía de entrada para futuros ataques.

Las soluciones de software y los dispositivos clásicos como firewalls y diodos de datos definitivamente tienen un lugar en el diseño de un sistema de IA seguro, pero algo con tanto valor para una empresa justifica un enfoque mucho más absoluto. Si vamos a la vieja escuela, lo que hablaríamos como último recurso para cualquier ataque es desconectarlo. En última instancia, a menos que un atacante pueda cambiar las leyes de la física (o esté sentado dentro del centro de datos, lo cual es poco probable), desconectar la red es bastante imbatible.

El problema es que desconectar y volver a conectar la red lleva tiempo; hacer una llamada telefónica a su ingeniero de redes para conectarla o desconectarla cada vez que desee enviar un mensaje autorizado no parece una buena opción.

El rompefuegos Ricito de Oro

Hace poco me encontré con un dispositivo de seguridad que me impresionó, algo que no sucede con frecuencia hoy en día. No fue por su nueva tecnología de firewall de IA en la web oscura cuántica, como tantos proveedores anuncian en estos días. En cambio, fue porque es una empresa que tomó una idea muy antigua, la pensó y la actualizó de una manera que abre muchas posibilidades para topologías de red seguras.

El enfoque es simple y bastante inmejorable (obviamente nada es 100% seguro, pero los vectores de ataque contra una desconexión física son extremadamente escasos). Básicamente, FireBreak (a diferencia del firewall, por supuesto) desconecta el cable de red cuando se le ordena o lo vuelve a enchufar. No es exactamente tener a alguien de guardia en el centro de datos para manipular los cables cuando se lo solicite, pero es una manera fácil de pensar. al respecto, excepto que la persona puede conectar o desconectar los cables en una fracción de segundo en respuesta a las indicaciones de cualquier método que elija.

A menudo, las redes de administración están separadas solo por un firewall, mientras que FireBreak tiene un plano de control completamente fuera de banda de la red. Puedo imaginarme fácilmente vincular FireBreak con su sistema de emisión de tickets para conectar físicamente los planos de administración solo durante ventanas de cambio definidas, haciéndolos no disponibles incluso para el atacante más privilegiado sin pasar por un proceso documentado.

“Al operar en la llamada 'era post-violación', la industria de la seguridad parece resignada a la idea de que los ciberataques son una cuestión de ' cuándo' y no de ' si' . En Goldilock, queríamos encontrar una manera de capacitar a las personas y las organizaciones para que asuman más responsabilidad y control sobre lo que sucede con sus datos. Nuestro producto estrella, FireBreak, nació de esta idea. Su enfoque basado en hardware permite a los usuarios segmentar físicamente todos los activos digitales, desde LLM hasta redes completas, de forma remota, instantánea y sin utilizar Internet.

Esto permite a los usuarios conectarse y desconectarse físicamente cuando sea necesario, desde cualquier parte del mundo, ocultando cualquier activo de la vista y mejorando su profundidad de defensa existente, incluso contra la IA, que es esencialmente solo un tipo de software.

En última instancia, queremos que la gente reconsidere lo que se debe mantener en línea y vea un alejamiento del modelo "siempre activo" que puede dejar expuestos datos confidenciales. Porque cualquier dato mantenido en línea corre el riesgo de ser violado. Dado que cada vez más empresas capacitan sus propios modelos LLM internamente, es necesario abordar un nuevo ámbito de consideraciones de seguridad. La segmentación de la red debería ser parte de una estrategia holística de ciberseguridad que mantenga alejados a los malos actores y garantice que se les pueda detener en seco si violan parámetros externos".

-- Tony Hasek, director ejecutivo y cofundador de Goldilock

Entonces, ¿cómo ayuda esto con los secuestros del LLM?

Los modelos LLM son grandes. Nadie va a clonar uno en segundos. También se pueden usar de forma asincrónica: no dependen de una conexión constante para generar una respuesta a un mensaje y podrían volver a conectarse fácilmente y enviarla cuando terminen en lugar de trabajar en una sesión interactiva.

No es necesario que un usuario tenga una sesión activa en el LLM mientras genera un mensaje. No es necesario que tengan una conexión activa mientras esperan que se genere la respuesta. Conectarse solo durante la fracción de segundo necesaria para enviar un mensaje o recibir la respuesta es una forma muy eficaz de minimizar el tiempo de exposición a las amenazas.

Esta desconexión/reconexión ocurre demasiado rápido para que los humanos se den cuenta de cualquier retraso, y los LLM tienen muy pocos casos de uso que sean críticos en el tiempo en el nivel de microsegundos.

No es la única capa de seguridad que se puede aplicar y hay muchas otras formas de aplicarla, pero definitivamente vale la pena considerarla.