Mais de 50% das organizações estão implantando modelos de IA personalizados em nuvem, muitas vezes negligenciando a segurança em favor da rapidez no uso. Essa é uma das conclusões do Relatório de Segurança de IA da Orca Security (2024 State of AI Security Report), publicado quarta-feira dia 23 de Outubro. Pior: 98% das organizações que usam Amazon SageMaker têm uma instância de notebook com acesso root habilitado. O acesso root permite que desenvolvedores criem, treinem e implantem modelos de IA sem novas rotinas de segurança. Esses pacotes são frequentemente vulneráveis a problemas de segurança conhecidos.
Leia também
I.A. cria nova geração de ataque cibernético
Ferramenta de I.A. já localiza zero-days no código
O estudo descobriu que 45% dos buckets do Amazon SageMaker usam configurações padrão inseguras e 62% das empresas utilizam pacotes de IA com vulnerabilidades conhecidas. Esses riscos incluem desde a exposição de códigos e chaves de acesso a ataques de integridade e roubo de modelos. O relatório destaca que a falta de visibilidade e controle pode aumentar a superfície de ataque em ambientes de IA.
Principais Descobertas
- Adoção de IA: Mais da metade das organizações (56%) estão implantando seus próprios modelos de IA para aplicativos personalizados, com Azure OpenAI liderando entre os serviços de nuvem.
- Configurações Inseguras: Muitas organizações aceitam configurações padrão de IA que priorizam a rapidez de desenvolvimento em detrimento da segurança. Exemplo: 45% dos buckets do Amazon SageMaker utilizam nomes padrão não randômicos.
- Vulnerabilidades: 62% das organizações implantaram pacotes de IA com pelo menos uma vulnerabilidade de segurança (CVE), mas a maioria dessas vulnerabilidades é de baixo a médio risco.