Wdrażać AI w firmie czy nie wdrażać? Oto jest pytanie! A jeśli wdrażać – to jak? [cz. 1]

Przy wdrożeniu AI w organizacji trzeba wziąć pod uwagę nie tylko kwestie optymalizacji procesów, zaoszczędzonego czasu czy pieniędzy. Kluczową kwestią jest oczywiście cyberbezpieczeństwo firmy. Dlatego dzisiaj o tym jak podejść do tematu pod kątem bezpieczeństwa. 

SANS Institute opublikował draft wytycznych dot. bezpieczeństwa wykorzystywania narzędzi AI. Jakie dostaliśmy wskazówki w temacie wdrożenia AI w firmie?

Hosting Modeli AI: Lokalne vs. SaaS

Niezależnie od tego jaką opcję wybierzesz, każda wymaga osobnej analizy i zastosowania konkretnych środków.

Prywatność danych jest dla Ciebie krytyczna?

Udostępnianie danych stronom trzecim nie wchodzi w grę?

Lepszą kontrolę nad danymi zapewnia postawienie lokalnego modelu.

Ale w tym wypadku:

• potrzeba mocy obliczeniowej do efektywnego uruchamiania i zarządzania modelami
• model może nie być tak wydajny w zakresie rozumowania jak modele dostępne w chmurze

Wykorzystujesz już usługi chmurowe głównych dostawców?

Ze względu na łatwiejszą integrację sensowniejsze może być uruchomienie LLM w chmurze.

Na co jeszcze zwrócić uwagę przy wyborze?

Ustal czy dostawca modelu będzie wykorzystywał / przechowywał dane firmy do trenowania lub ulepszania swojego modelu.

Jeśli TAK – wiesz co robić.

Jeśli NIE – zweryfikuj:

• jakie kroki podjęto, aby zapobiec logowaniu danych przesyłanych do i przetwarzanych przez API?
• jak kontrolowane są te logi?
• jak długo są przechowywane?
• kto ma do nich dostęp?

Wdrożenie AI w IDE

VSCode, Windsurf czy Cursor coraz częściej oferują integrację z modelami LLM.

Cel? Zwiększenie wydajności i produktywności programistów.

Ryzyko? Oczywiście

Jakie?

Nieumyślne ujawnienie wrażliwych informacji:

• zastrzeżone algorytmy
• klucze API
• zbiory danych

Jak je złagodzić, żeby dane pozostały bezpieczne?

Wykorzystywać IDE z integracją LLM działającą wyłącznie lokalnie.

Publiczne modele? Zachowaj ostrożność!

Przykład: HuggingFace.

Korzystając ze znajdujących się tam baz danych czy modeli możliwe jest:

• wykorzystanie ich przez threat actorów do wprowadzenia szkodliwego kodu do pakietów używanych do wdrażania modeli

Sam model może nie być naruszony.

Ale pakiet, w którym się znajduje, może zawierać złośliwy kod, który zostanie wykonany podczas rozpakowywania lub wywoływania modelu.

• same modele mogą być tworzone przez threat actorów

A niespodzianką może być niezapowiedziany backdoor w architekturze.

Nie tylko pozwoli to wejść atakującym do systemu bez wiedzy i zgody właściciela. Taki backdoor może aktywować specyficzne zachowanie w odpowiedzi na określony input.

A jego usunięcie może być trudne lub niemożliwe.

To tylko 3 przykłady. Kolejne w następnej części serii. Stay tuned!

Masz pytania dot. legalnego i bezpiecznego wdrożenia AI w swojej firmie?

Potrzebujesz prawnego wsparcia w tym procesie?

Napisz do mnie! Pogadajmy

Źródło zdjęcia: StartupStockPhotos

Teksty umieszczone na Linkedin lub mojej stronie internetowej mają charakter wyłącznie edukacyjny. Proszę nie traktuj ich jako porady prawnej w konkretnej sprawie. Sposób stosowania przepisów może się znacznie różnić w zależności od danej sytuacji. Informacje zawarte w artykułach nie dotyczą konkretnej sprawy a każdy stan faktyczny wymaga odrębnej analizy prawnej.