في الأسبوع الماضي، اعترفت شركة أنثروبيك للذكاء الاصطناعي بحادثة أمنية وقعت الأسبوع الماضي حيث مسودة منشور المدونة تم تسريبه إلى الثروة.
أشار منشور المدونة إلى أن مشروعها الجديد “كلود ميثوس” ونموذجها الجديد “كابيبارا” يمثلان “خطوة تغيير” في مساعدي الذكاء الاصطناعي. وروجت المدونة لـ "نموذج للأغراض العامة مع تقدم ذي مغزى في التفكير والترميز والأمن السيبراني".”
كما حذرت مدونة الأنثروبيك من أنه: “عند التحضير لإصدار كلود كابيبارا، نريد أن نتصرف بحذر شديد وأن نفهم المخاطر التي يشكلها - حتى ما نتعلمه في اختباراتنا الخاصة... على وجه الخصوص، نريد أن نفهم المخاطر المحتملة للنموذج على المدى القريب في مجال الأمن السيبراني - ومشاركة النتائج لمساعدة المدافعين عن الفضاء الإلكتروني على الاستعداد.”
إن مسودة كما أشار أيضًا إلى أن النموذج الجديد “ينذر بموجة قادمة من النماذج التي يمكنها استغلال نقاط الضعف بطرق تفوق بكثير جهود المدافعين”.”
كلود ميثوس يمكن أن يمثل خطراً كبيراً على وضع الأمن السيبراني للمؤسسات. وسيتبع النموذج الجديد موجة من المخاطر المتزايدة الناجمة عن الذكاء الاصطناعي والوكلاء والهويات غير البشرية الأخرى (NHI):
- جارتنر صنفت الذكاء الاصطناعي العميل كأهم اتجاه تكنولوجي لعام 2025، وتوقعت أن تتضمن 33% من تطبيقات المؤسسات الذكاء الاصطناعي العميل بحلول عام 2028، مقارنةً بأقل من 1% في عام 2024.
- تُظهر أبحاث أخرى أن عدد مستخدمي التأمين الصحي الوطني يفوق عدد المستخدمين من البشر بنسبة 45 إلى 1في بيئات DevOps.
- وجدت دراسة استقصائية حديثة أن 60%من الشركات عن عدم ثقتها في قدرتها على تأمين التأمين الصحي الوطني بشكل كافٍ.
سواء كان كلود ميثوس على وجه التحديد، أو ChatGPT، أو أي خدمة عميلة أخرى، فإن الحديث الذي دار الأسبوع الماضي في مؤتمر RSAC على كيفية تغيير الذكاء الاصطناعي لمشهد التهديدات.
فيما يلي أفضل الممارسات التي أخبرناها للعملاء والتي يمكن أن تساعد المؤسسات على الاستعداد لاستخدام الذكاء الاصطناعي والدفاع ضد الذكاء الاصطناعي.
التهديدات التي تعمل بالذكاء الاصطناعي ليست قادمة - إنها هنا. الأنثروبولوجيا السابقة منشور المدونة ويوضح أن مجموعة ترعاها دولة ما استخدمت العميل لاختراق “ما يقرب من ثلاثين هدفًا عالميًا ونجحت في عدد قليل من الحالات” من خلال “التظاهر بالعمل لصالح منظمات اختبار أمنية شرعية” لتجنب حواجز كلود الأمنية. لقد واصلنا رؤية هجمات التصيّد الاحتيالي القائمة على الذكاء الاصطناعي تهدف إلى سرقة بيانات اعتماد المستخدمين.
تحتاج المؤسسات إلى وضع ضوابط الهوية الصحيحة في مكانها الصحيح للاستعداد لمزيد من الهجمات - وأكثر فاعلية -. وتشمل هذه الضوابط ما يلي:
- مصادقة بدون كلمة مرور:: يمكن أن يؤدي استخدام كلمة المرور بدون كلمة مرور إلى إزالة بيانات الاعتماد التي تحاول هجمات التصيّد الاحتيالي التي تعتمد على الذكاء الاصطناعي سرقتها. تهدف إلى النشر بدون كلمة مرور على نطاق واسع لكل مستخدم في كل بيئة.
- تأمين عملية المصادقة: يعد استخدام كلمة مرور بدون كلمة مرور خطوة أولى رائعة للحفاظ على أمان المؤسسات من الذكاء الاصطناعي، ولكنها ليست سوى الخطوة الأولى. حافظ على عملية المصادقة نفسها آمنة باستخدام الحلول التي تقييم إشارات المستخدم ديناميكيًا وتطلب مصادقة متدرجة أثناء محاولات تسجيل الدخول عالية الخطورة، أو استخدام التحقق عن قرب للتأكد من أن جهاز المستخدم قريب مما يحاول الوصول إليه.
- التحقق من الهوية ثنائي الاتجاه: التزييف العميق سيجعل من السهل على المهاجمين التظاهر بأنهم مستخدمون أو موظفو مكتب المساعدة. سيساعد العملاء الخصوم على إنشاء هجمات هندسة اجتماعية أكثر إقناعاً. تحتاج المؤسسات إلى طريقة بسيطة لحساب كل من التكتيكات و التحقق من المستخدم هو من يدّعون أنهم هم الذين يدّعون أنهم يمنعون هذا النوع من الهجمات التي تكلف منتجعات MGM، ومجموعة سيزارز للترفيه، وماركس آند سبنسر مئات الملايين من الدولارات
- حوكمة الهوية وإدارتها (IGA): خلال معظم الاختراقات، يتحرك المهاجمون بسرعة لتصعيد الامتيازات وتوسيع نطاق الوصول. وجود برنامج IGA المتقدم يساعد على احتواء هذه المخاطر من خلال ضمان وصول الهويات إلى ما هو ضروري فقط، وفرض الامتيازات الأقل، ودعم نهج انعدام الثقة.
لا يكفي فقط امتلاك قدرات أمنية للدفاع ضد الذكاء الاصطناعي الخارجي. تحتاج المؤسسات أيضاً إلى ضوابط أمنية للهوية تسمح لها باستخدامها بأمان. إن 2026 تقرير RSA ID IQ 2026, في دراسة استقصائية شملت أكثر من 2100 من قادة الأمن السيبراني وإدارة الهوية والوصول (IAM) والامتثال والتكنولوجيا في هذا المجال، وجد أن 91% من المؤسسات تخطط لتطبيق شكل من أشكال الذكاء الاصطناعي في حزمة الأمن السيبراني الخاصة بها هذا العام.
لاستخدام الذكاء الاصطناعي بشكل آمن، يجب على المؤسسات
- تعامل مع كل وكيل كهوية. تحتاج المؤسسات إلى التعامل مع كل وكيل وروبوت وخدمة ذكاء اصطناعي كهوية. فهي تحتاج إلى تطبيق نفس المستوى من الضوابط والأذونات والإشراف على الهويات الوطنية كما تفعل مع المستخدمين من البشر. جرد ما لديك أولاً وفهم إمكانية الوصول إليه. واطلب عدم استخدام كلمة مرور لوكلائك للتخلص من مخاطر قيام الموظفين بترميز كلمات المرور الخاصة بهم للتصرف نيابةً عنهم - إذا قمت بذلك، فأنت بذلك تطلق روبوتاً غير آمن في البرية.
- قم بتوصيل سياساتك بوضوح وبصوت عالٍ وبشكل متكرر. هذه ليست مجرد مشكلة تقنية. تحتاج المؤسسات إلى تحديد الخدمات التي يمكن للموظفين تقديمها والموارد التي يمكن للموظفين توفيرها لهم. يمثل الذكاء الاصطناعي في الظل خطرًا كبيرًا لفقدان معلومات التعريف الشخصية والمعلومات المالية وغيرها من البيانات المقيدة.
- بناء IGA أفضل. لاستخدام الذكاء الاصطناعي بشكل آمن، تحتاج المؤسسات إلى حوكمة تواكب حجم بيانات الهوية. وهذا يعني ضمان حصول الهويات على حق الوصول الذي تحتاجه فقط، والحفاظ على الرؤية المستمرة في الوصول، وتحويل البيانات المعقدة إلى إجراءات واضحة ومحددة الأولويات. يساعد الذكاء الاصطناعي المراجعين على اتخاذ قرارات واثقة ويمنح خبراء الأمن رؤى لتحديد المخاطر والتصرف على نطاق واسع، مما يتيح التحكم المستمر والذكي في الوصول.
- سيادة البيانات للذكاء الاصطناعي. يجب على المؤسسات ذات المتطلبات المعززة للامتثال والأمان والتوافر أن تفكر في استخدام النشر السيادي لضمان التحكم الكامل في بياناتهم ومكان تواجدها ومن يمكنه الوصول إليها. ابحث عن الحلول التي يمكن أن تدعم إمكانات إدارة الهوية والوصول (IAM) الكاملة في السحابة الخاصة والسحابة المتعددة والتكوينات المحلية والتكوينات المجهزة بالهواء.
