[23/09/2024] Orca Security ha publicado el primer Informe sobre el estado de la seguridad de la IA 2024, que proporciona información sobre las tendencias actuales de utilización de la IA, cómo afecta a las posturas de seguridad de las organizaciones y recomendaciones para mitigar el riesgo. El informe destaca que, a medida que las organizaciones invierten en innovación en IA, la mayoría de ellas lo hacen sin tener en cuenta la seguridad.
Compilado por Orca Research Pod, el Informe sobre el estado de la seguridad de la IA es un estudio detallado basado en datos de miles de millones de activos en la nube en AWS, Azure, Google Cloud, Oracle Cloud y Alibaba Cloud escaneados por la plataforma de seguridad en la nube Orca en el 2024.
"El entusiasmo por adoptar herramientas de IA está llevando a las organizaciones a aumentar innecesariamente su nivel de riesgo al pasar por alto pasos de seguridad simples", sostuvo Gil Geron, CEO y cofundador de Orca Security, en el comunicado de prensa. "La fuerte dependencia de la configuración predeterminada y la voluntad de implementar paquetes con vulnerabilidades conocidas es reveladora. La prisa por aprovechar la IA hace que las organizaciones se salten los conceptos básicos de seguridad y dejen caminos claros para atacar abiertos a los adversarios".
El informe revela una amplia gama de riesgos de IA, incluidas claves API expuestas, identidades demasiado permisivas, configuraciones incorrectas y más. Los investigadores de Orca remontan muchos de estos riesgos a la configuración predeterminada de los proveedores de la nube, que a menudo otorgan un amplio acceso y amplios permisos. Por ejemplo, comentó el ejecutivo, el 45% de los buckets de Amazon SageMaker utilizan nombres de buckets predeterminados no aleatorios fácilmente detectables, y el 98% de las organizaciones no han deshabilitado el acceso raíz predeterminado para las instancias de bloc de notas de Amazon SageMaker.
El Informe sobre el estado de la seguridad de la IA 2024 de Orca Security concluye que;
- El 56% ha adoptado sus propios modelos de IA para crear aplicaciones personalizadas e integraciones específicas para su(s) entorno(s). Azure OpenAI es actualmente el líder entre los servicios de IA de los proveedores de servicios de IA en la nube (39%); Sckit-learn es el paquete de IA más utilizado (43%) y GPT-35 es el modelo de IA más popular (79%).
- El 62% de las organizaciones han implementado un paquete de IA con al menos un CVE. Los paquetes de IA permiten a los desarrolladores crear, entrenar e implementar modelos de IA sin desarrollar rutinas completamente nuevas, pero una clara mayoría de estos paquetes son susceptibles a vulnerabilidades conocidas.
- El 98% de las organizaciones que utilizan Google Vertex AI no han habilitado el cifrado en reposo para sus claves de cifrado autogestionadas. Esto deja los datos confidenciales expuestos a los atacantes, lo que aumenta las posibilidades de que un actor malintencionado pueda exfiltrar, eliminar o alterar el modelo de IA.
- Las herramientas de IA en la nube aumentan su popularidad. Casi cuatro de cada 10 organizaciones que usan Azure también aprovechan Azure OpenAI, que solo estuvo disponible para el público en noviembre de 2021. Amazon SageMaker y Vertex AI son cada vez más populares.
Franca Cavassa, CTOPerú