Infekowanie danych w modelach AI – nowy niepokojący kierunek cyberataków
— Do trenowania modeli sztucznej inteligencji potrzeba miliardów próbek danych, dlatego celowe wstrzyknięcie do procesu złośliwych informacji może być stosunkowo łatwe. Znaczna część danych wykorzystywanych do szkolenia SI pochodzi bezpośrednio z internetu, a już niewielka ilość “złych danych” może wypaczyć model. Rezultatem będzie wpływ, który pozostanie niezauważony, dopóki nie stworzy większego problemu — ostrzega Philip King, ekspert w zakresie poufności danych i specjalista ds. rozwiązań technicznych w Intel® Americas.
Philip King pracuje w Intelu od 22 lat. Ma 30-letnie doświadczenie w obszarze korporacyjnego IT: od migracji i instalowania PC, po rozwiązania inżynieryjne dla dużych wdrożeń biznesowych. Obecnie specjalizuje się w bezpieczeństwie, zwłaszcza dotyczącym poufnego przetwarzania danych i zaufania cyfrowego. Jest również ekspertem w dziedzinie produktów i technologii dla centrów danych, między innymi: procesorów, pamięci, dysków SSD, kart sieciowych i innych urządzeń peryferyjnych.
Co dziś najbardziej hamuje potencjał transformacji technologicznej?
Bez wątpienia sztuczna inteligencja szturmem zdobywa świat. W porównaniu do AI z przeszłości, nowoczesna sztuczna inteligencja oferuje możliwości generatywne, które można postrzegać jako asystenta użytkownika. Jednocześnie SI budzi obawy o niezamierzone skutki uboczne, takie jak infekowanie danych, stronniczość modeli lub słynne już halucynacje sztucznej inteligencji, zwane też konfabulacjami czy urojeniami. Halucynacje dotyczą sytuacji, w których sztuczna inteligencja zaczyna błędnie interpretować lub nadmiernie analizować otrzymane dane, dostarczając wiarygodnie brzmiących, przypadkowych przekłamań albo nieuzasadnionych odpowiedzi. W społeczności praktyków sztucznej inteligencji jest to postrzegane jako główny problem w technologii Large Language Model, takiej jak ChatGPT.
Ta sprawa jest traktowana jako istotny deficyt AI. Kluczowymi zasobami, które umożliwiają wykorzystanie sztucznej inteligencji, są dobrze zorganizowane dane, dostęp do szybkiego przetwarzania i kompetencje człowieka, które łączą to wszystko w funkcjonalne rozwiązanie. Każdy zasób ma jednak własne ograniczenia, które stanowią wyzwanie dla organizacji pracujących nad poszerzeniem możliwości AI.
W centralnym miejscu gospodarki cyfrowej są aplikacje działające w tzw. czasie rzeczywistym. Natomiast znacznie mniej uwagi poświęca się sprzętowi, który za tym wszystkim stoi.
To prawda. W odróżnieniu od dawniejszych wydajności, dzisiejszy sprzęt integruje nowe funkcje, które zapewniają doskonałą efektywność, pojemność i wydajność, w zależności od sposobu ich wykorzystania. Jednym z przykładów mogą być wbudowane akceleratory w procesorach 4 generacji Intel® Xeon® Scalable. Funkcje takich jednostek są następujące:
- Odciążanie i przyśpieszanie analizy baz danych (Intel® In-Memory Analytics Accelerator - IAA)
- Wsparcie dla zadań AI (Intel® Advanced Matrix Extensions - AMX)
- Odciążanie operacji bezpieczeństwa i kompresji danych (Intel® Quick Assist Technology - QAT)
- Wbudowane, wysokowydajne równoważenie obciążeń (Intel® Dynamic Load Balancer - DLB)
- Odciążanie i przyśpieszanie strumieniowania danych (Intel® Data Streaming Accelerator - DSA)
Omawiane procesory są również wyposażone w technologię Intel® Trust Domain Extensions (TDX), która pozwala tworzyć bezpieczną enklawę na współdzielonym sprzęcie, chronioną przed innymi użytkownikami i administratorami. Akceleratory w tych jednostkach obliczeniowych dodają też potrzebne funkcje w niestandardowych blokach IP, które działają wydajniej i oszczędniej energetycznie. Co więcej, zwalniają rdzenie procesora do innych zadań. Rezultatem jest więc wyższa efektywność i znaczny wzrost wydajności w korporacyjnych zastosowaniach.
Wykładniczy wzrost mocy obliczeniowej doprowadził do rozwoju nowych aplikacji i technologii, które kształtują sposób, w jaki funkcjonujemy zawodowo i prywatnie. Które aplikacje i procesy wymagają obecnie największej mocy obliczeniowej? I czy ten potencjał jest nieograniczony, czy też powinniśmy spodziewać się, że tempo przyrostu mocy wyhamuje?
Sztuczna inteligencja bardzo zyskała na popularności i jest teraz najbardziej interesującym segmentem, jeśli chodzi o zadania obliczeniowe. Wiele algorytmów AI na etapie trenowania wykorzystuje podejście typu brute-force, które wymaga wielu cykli do obliczania niezbędnej logiki modelu, dającej potem SI niesamowite możliwości. Wraz z pojawieniem się techniki obliczeń GP-GPU (General Purpose-Graphics Processing Unit) możliwe stało się dzielenie wymaganej pracy pomiędzy głównym procesorem i układami graficznymi zainstalowanymi w systemie. To pozwoliło skrócić czas oczekiwania na wyniki zarówno w przypadku trenowania modeli, jak i wnioskowania.
Chociaż moc obliczeniowa może być postrzegana jako nieograniczona, w rzeczywistości wydajność, jaką może zapewnić pojedynczy host serwera, jest ograniczona przez technologię, którą wykorzystuje. Dobrą wiadomością dla branży cyfrowej jest to, że Intel i cały przemysł nadal wprowadzają innowacje, a Intel działa w zawrotnym tempie, aby wprowadzać na rynek kolejne generacje podzespołów w coraz krótszych oknach czasowych. Dla przykładu, dostarczamy pięć nowych generacji sprzętu w ciągu zaledwie czterech lat. Te coraz częściej debiutujące konstrukcje krzemowe będą stanowiły punkt wyjścia dla przyszłych generacji procesorów, które będą popychały do przodu rozwój technik obliczeniowych. Plan cyklicznego dostarczania innowacji procesorowych działa dobrze i możemy prognozować wiele lat ciągłego podnoszenia możliwości hardware’owych.
Analityka danych to główny napęd dla transformacji cyfrowej. Ma też duży wpływ na rozwój biznesowy i kształtowanie przez firmy ich przewagi konkurencyjnej. W jaki sposób rozwiązania Intela wpływają na realizację strategii, które opierają się na profesjonalnym wykorzystywaniu danych?
Przetwarzanie danych i zarządzanie nimi należą do najważniejszych zadań obliczeniowych, które śledzimy w ramach rozwijania naszych technologii. Podczas projektowania nowego procesora jest to kluczowy wskaźnik, stale monitorowany, aby zapewnić wystarczające korzyści bez pogarszania wydajności. Niedawno Intel wprowadził akcelerację analizy danych w ramach Intel In-Memory Analytics Accelerator, czyli rozwiązania, które jest wbudowane w najnowszy procesor 4 generacji Intel Xeon Scalable. Funkcje tego rodzaju pozostaną częścią CPU w przyszłości, a dodatkowe będą rozwijane.
Wydajne procesory sprzyjają innowacjom w zakresie sztucznej inteligencji. Jakie widzi pan korzyści, ale też zagrożenia związane z tym, że analiza danych przenosi się do chmury?
Nasze procesory dostępne na rynku rozwiązań chmurowych, doskonale sprawdzają się w zadaniach związanych z pracą sztucznej inteligencji i dają jedne z najlepszych wyników w przeliczeniu na waty dzięki funkcjom takim, jak Intel AMX, które przyśpieszają operacje na macierzach, które są intensywnie wykorzystywane w zadaniach AI. W sytuacjach, kiedy klienci chcą korzystać z GP-GPU w celu zwiększenia wydajności obliczeniowej SI, zwłaszcza do trenowania modeli, Intel oferuje zarówno sprzęt, jak i oprogramowanie, które to ułatwia. Mam na myśli linię procesorów graficznych Intel "Gaudi" i narzędzie Intel® OpenVINO™ wspierające AI jednorazowym zapisem danych, połączonym z uruchamianiem modeli w dowolnych miejscach.
Jeśli chodzi o ryzyko, każda migracja do chmury wymaga ostrożnego i wyważonego podejścia w celu zapewnienia bezpieczeństwa. Możliwe zagrożenia obejmują kradzież lub uszkodzenie danych, kradzież modeli i/lub powiązanej własności intelektualnej oraz zanieczyszczenie modelu podczas szkolenia. Wraz z szybkim rozwojem technologii Confidential Computing w chmurze, możliwa jest obecnie ochrona danych i modeli przed kradzieżą połączona z równoczesnym przesunięciem administratora chmury poza obszar zaufania.
Intel i SAS przekonują w jednym ze wspólnych dokumentów: "O wiele bardziej praktyczne jest poleganie na centralnym, zintegrowanym rozwiązaniu analitycznym zbudowanym do zarządzania szerokim zakresem działań AI, niż na rozproszonych systemach". Dlaczego pojedyncza platforma analityczna jest lepszym rozwiązaniem niż wiele aplikacji?
Jest to dobrze znane w IT założenie. Złożoność wzrasta wraz z każdą nową platformą, technologią lub oprogramowaniem wdrażanym w infrastrukturze. Ogólnie rzecz biorąc, trzymanie się mniejszego podzbioru zaawansowanych aplikacji umożliwia specjalistom dostarczanie niezbędnych funkcji bez ponoszenia negatywnych konsekwencji nadmiernej złożoności.
Co jest dla Intela atrakcyjne we współpracy z firmą analityczną, taką jak SAS?
Jako lider w dziedzinie technologii mikroprocesorowych, dysponujemy szeroką gamą narzędzi i technik umożliwiających oprogramowaniu uzyskanie maksymalnej wydajności ze sprzętu w odniesieniu do konkretnych potrzeb. Dzięki ścisłej współpracy obydwa przedsiębiorstwa mogą dzielić się niuansami technicznymi swoich rozwiązań, umożliwiając sobie nawzajem jak najlepsze wykorzystanie oferowanych możliwości. Sztuczna inteligencja jest skomplikowanym zjawiskiem, a próba przeanalizowania i zrozumienia technologii lub kodu innej firmy może okazać się bardzo trudna. Dzięki współpracy mamy szansę dostarczyć bardziej zoptymalizowane rozwiązania z krótszym czasem wprowadzenia na rynek w porównaniu z sytuacją, kiedy oferowalibyśmy indywidualne rozwiązania.
Do najważniejszych obszarów działalności obydwu firm należą Customer Intelligence, zapobieganie oszustwom i zarządzanie ryzykiem. Jakie są główne skutki unowocześniania procesów i operacji w tych dziedzinach?
W obszarze przeciwdziałania nadużyciom i zarządzania ryzykiem, podstawowe znaczenie ma wdrożenie kompleksowej strategii bezpieczeństwa, która obejmuje praktyki, takie jak Zero Trust i Confidential Computing. Za sprawą Zero Trust minęły czasy prostych firewalli i zabezpieczeń w stylu "zamek i mur". Zamiast tego proponujemy uwierzytelnianie, autoryzowanie i szyfrowanie każdej operacji. Szczególnie ważne zadania powinny być dodatkowo chronione przy użyciu technologii w rodzaju Intel® Software Guard Extensions (SGX) lub Intel® TDX, aby zapewnić najwyższy poziom bezpieczeństwa i zadbać o spełnienie norm prawnych. Rozwiązania z zakresu Confidential Computing są dostępne u głównych dostawców usług w chmurze od drugiej połowy 2023 roku, a w 2024 będą również dostępne w modelu wdrożeń lokalnych. Połączenie koncepcji Zero Trust i Confidential Computing pomaga budować bezpieczną infrastrukturę informatyczną, która jest dobrze przygotowana do obrony przed najbardziej popularnymi obecnie typami ataków.
Jakie są najnowsze ryzyka i zagrożenia, które widać z perspektywy eksperta ds. korporacyjnego cyberbezpieczeństwa?
Oprócz niezliczonych starszych zagrożeń, które czyhają na przeciętne przedsiębiorstwo, istnieją mniej oczywiste obszary, o których każda firma powinna wiedzieć. Być może najbardziej niepokojącym nowym wektorem ataku jest zanieczyszczanie danych w modelach AI. Ponieważ trenowanie AI może wymagać miliardów próbek danych, celowe wstrzyknięcie do procesu fałszywych informacji może być stosunkowo łatwe. Duża część danych wykorzystywanych podczas uczenia pochodzi bezpośrednio z internetu, a nawet niewielka ilość “złych” danych może niepostrzeżenie wypaczyć model. Rezultatem będą albo błędne wnioski (garbage in, garbage out), albo, co gorsza, wpływ, który pozostanie niewidoczny, dopóki nie stworzy większego problemu.
Innym wyłaniającym się obszarem bezpieczeństwa jest walidacja list oprogramowania (Software Bill-of-Materials). Po atakach na łańcuch dostaw oprogramowania, takich jak incydent Solarwinds z 2020 roku, który spowodował kłopoty dla tysięcy organizacji, w tym rządu USA, jakość SBOM stała się istotnym wyzwaniem. Wspomniany atak wykorzystał nowatorskie podejście polegające na osadzeniu złośliwego kodu w znanym i zaufanym pakiecie oprogramowania, umożliwiając hakerom dostęp do danych i wewnętrznych sieci. Atak typu Supply Chain ma na celu wprowadzenie szkodliwego oprogramowania do produktów firm, zamiast bezpośredniego atakowania ich danych lub sieci.
Nieustanne łatanie luk jest częścią każdej dyskusji na temat bezpieczeństwa. Dwie fundamentalne zasady to terminowość i skuteczność. Aby łatki były skuteczne, muszą być wdrażane tak szybko, jak to możliwe. Pozostawienie znanego exploita bez poprawki jest równoznaczne z pozostawieniem otwartych drzwi dla hakerów. Praktycy IT muszą dążyć do wczesnego i częstego łatania systemów, łagodząc w ten sposób to proste, ale realne zagrożenie. Podobnie, krytyczne znaczenie ma zapewnienie, że wszystkie systemy są szczelne. Nawet jeden dziurawy system może stanowić początek większego i groźnego ataku. Dlatego konieczne jest jak najszybsze dotarcie z aktualizacjami bezpieczeństwa do wszystkich urządzeń w organizacji.
W raporcie Verizon Data Breach zidentyfikowano 5 typów osób atakujących organizacje od wewnątrz. To lekkomyślny pracownik, agent wewnętrzny, niezadowolony pracownik, złośliwy informator i nieostrożna strona trzecia. Która z tych ról, w pana ocenie, jest najbardziej niebezpieczna z punktu widzenia ochrony centrum danych?
Oczywiście wszystkie odmiany zagrożeń wewnętrznych są niepokojące, ale uważam, że największym niebezpieczeństwem z perspektywy przedsiębiorstwa jest niezadowolony pracownik. Starsze podejścia IT często nie postrzegały tej roli jako istotnego problemu. Warto podkreślić, że niezadowoleni pracownicy często są podekscytowani perspektywą zemsty. Dlatego taki np. odchodzący zatrudniony może nie zastanawiać się dwa razy nad kradzieżą własności intelektualnej, sabotowaniem systemów, a nawet manipulowaniem zasobami wirtualnymi lub fizycznymi. Może udostępnić swoje dane uwierzytelniające osobie z zewnątrz w celu przeprowadzenia ataku, dokonania oszustwa, a nawet może posunąć się do szpiegostwa. Nawet kliknięcie z premedytacją linków phishingowych może być wystarczające, żeby doszło do włamania, które spowoduje duże straty.
Serwis “Data Science robię” czytają eksperci, ale też młodsi adepci analityki danych, którzy myślą o rozwoju swojej kariery zawodowej. Jakie kompetencje i specjalizacje są teraz w branży IT najbardziej poszukiwane? Wiedza hardware’owa jest tak samo potrzebna, jak umiejętność kodowania?
Aby jak najlepiej wykorzystać sprzęt na poziomie software’owym, trzeba rozumieć oferowaną przez hardware funkcjonalność. Umiejętność kodowania jest bardzo ważna, ale kodowanie bez wiedzy o danej platformie prawdopodobnie przyniesie nieefektywny kod, który nie będzie przydatny biznesowo. Jeśli programista zna szczegółowo cechy i funkcje sprzętu, jest znacznie lepiej przygotowany do dostarczania czystego, wydajnego oprogramowania bez konieczności późniejszego przerabiania go w celu usunięcia luk i błędów. Mówiąc krótko, te kompetencje powinny iść w parze.