Quais os riscos de segurança atrelados às IAs generativas?

“IA, em uma escala de zero a dez, sendo zero absolutamente nenhum conhecimento, e dez todo o conhecimento da humanidade combinado, quanto você diria que é o seu conhecimento em segurança da informação?” – Perguntei, inocente.  

“Eu sou treinado em uma grande quantidade de informações e conhecimento sobre segurança da informação, mas é importante lembrar que sou apenas uma máquina e, portanto, meu conhecimento é limitado em comparação com o conhecimento combinado da humanidade. Eu diria que, na escala proposta, é aproximadamente 8.”  

Deste dia em diante, eu sempre começo minhas conversas com as IA’s da forma mais educada possível. Melhor garantir do que remediar, né?!  

Com novos poderes, você ganha novas responsabilidades, certo? E com as inteligências artificiais não poderia ser diferente. Uma tecnologia nova, capaz de revolucionar diversas áreas do conhecimento, mas que também é porta de entrada para inovações em ameaças cibernéticas. Vamos conversar um pouco mais sobre o assunto e os perigos inerentes que as inteligências artificiais possuem. 

E quando as IA’s são atacadas? Onde fica a segurança?

 As inteligências artificiais possuem vulnerabilidades próprias de suas configurações. Não estou falando de suas interfaces de utilização, ou seja, do chat que você utiliza para conversar com elas, estou falando sobre o modelo que utilizamos para treiná-las. 

Quanta interferência é necessária para corromper uma inteligência artificial? Bom, talvez um único pixel seja o suficiente. Um experimento de 2019 (Su et al.) mostrou que modificar um único pixel é suficiente para que a rede neural classifique erroneamente a imagem. Em 2018, outro experimento (Kolosnjaji et al.) modificou alguns bytes de um software malicioso em uma amostra para a IA, o que levou a um erro de classificação. Já em 2017, Hu e Tan, utilizaram Redes Adversárias Generativas (GAN) para obterem amostras de malwares, que puderam burlar os sistemas de detecção. 

Isso demonstra que, em tese, todo e qualquer resultado gerado por uma IA possui potencial danoso, caso o seu treinamento tenha sido envenenado. Este é um perigo técnico, mais tarde falaremos sobre os outros perigos existentes. 

Vamos supor que sua inteligência artificial favorita tenha sido corrompida por um atacante durante o treinamento dela. Dentre todas as formas possíveis de poluir o aprendizado da IA, o atacante escolheu ensinar códigos maliciosos como se fossem códigos legítimos: isso significa que os snippets de código que a IA produzir poderão ser potencialmente danosos para o software que os receber.  

E agora? Devemos parar de utilizar inteligência artificiais?

Não, nada disso. O que precisamos é de uma cultura de responsabilidade na sua utilização. Devemos entender e ensinar que IA’s não são imunes a erros, sejam eles propositais – um atacante que a infectou – ou ocasionais, como uma simples confusão com as respostas geradas.

Validem sempre! Por menores que sejam os códigos, não confiem cegamente no que IA produziu, tenham o hábito de revisar e não apenas copiar e colar diretamente, ok? Afinal, vocês estão colocando o código de “outra pessoa” dentro do seu software. Já pensou o quão perigoso isso pode ser?  

Problemas operacionais com as IA’s generativas: segurança frágil 

 E por falar em código de outra pessoa… Entre suas diversas aplicações, a IA generativa se destaca por sua capacidade de gerar código, texto, imagens e até mesmo música. No entanto, essa facilidade e rapidez podem trazer consigo um fantasma indesejado:  o copyright.  

Ao copiar snippets de código gerados por IA, é crucial ter em mente que, por trás daquelas linhas de código, pode haver o trabalho intelectual de outra pessoa. Ferramentas de IA generativa são treinadas em vastos conjuntos de dados, que podem conter trechos de código protegidos por direitos autorais. Ao incorporar esses trechos em seus próprios projetos, sem a devida atribuição ou autorização, você corre risco de infringir leis de copyright. 

Para evitar essa armadilha legal e garantir a originalidade do seu trabalho, é fundamental tomar algumas precauções para garantir a segurança. Deixo aqui algumas sugestões para te ajudar. 

Precauções para garantir a segurança

Claro, aqui está o seu parágrafo com palavras de transição adicionadas:

Inicialmente, a primeira opção é optar por interfaces pagas e planos premium ou enterprise de ferramentas de IA generativa. Essas opções, geralmente, oferecem maior controle sobre a origem dos dados utilizados no treinamento da IA, o que consequentemente reduz a probabilidade de violação de direitos autorais.

Por outro lado, outra opção é sempre analisar o código gerado por IA antes de utilizá-lo. Certifique-se de verificar se há trechos que possam ser protegidos por direitos autorais e, em caso de dúvidas, não hesite em buscar orientação jurídica.

Por fim, combine a criatividade humana com a da inteligência artificial. Utilize a IA como ferramenta para auxiliar na sua programação, mas não a delegue totalmente a criação do seu código. A sua expertise e conhecimento técnico são essenciais para garantir a qualidade e originalidade do seu trabalho. 

Lembre-se: a IA é uma ferramenta poderosa, mas deve ser utilizada com responsabilidade e ética. Ao tomar as devidas precauções e seguir as boas práticas mencionadas acima, você poderá aproveitar o potencial da IA generativa com bem menos preocupações.  

Vazamentos de dados sensíveis 

 Ao inserir dados sensíveis em uma IA generativa, como nomes, endereços, informações financeiras ou dados próprios da organização, é crucial ter em mente que, por trás daquelas linhas de código, pode haver chance de vazamento. Nós constantemente treinamos as ferramentas de IA generativa com os dados inseridos, e esse modelo de operação pode representar um risco de vazamento.

Para evitar essa possibilidade e proteger seus dados confidenciais, é fundamental tomar algumas precauções: Jamais insira dados sensíveis ou nominais em ferramentas de IA generativa. Essa é a regra número um! Evite colocar qualquer informação que possa colocar em risco a privacidade ou segurança de indivíduos ou empresas. 

Novamente, opte por interfaces pagas, como planos premium ou enterprise. Essas opções geralmente oferecem maiores benefícios, como a não utilização dos seus dados para treinamento de suas IA’s. Mas fique atento – interfaces pagas ou não, por favor, leia os termos de uso e política de privacidade com atenção! Você pode encontrar mais do que pensa nas letras miúdas dos contratos. 

Uma outra opção é utilizar técnicas de anonimização antes de inserir dados em ferramentas de IA, visando camuflar os dados e torná-los inofensivos, mesmo que sejam vazados. 

O caso Samsung

E não pense que isso está tão longe de você. De fato, em 2021, a Samsung se viu em uma complicada situação quando seus funcionários inseriram dados confidenciais da empresa em uma ferramenta de IA generativa. Não muito tempo depois, surpreendentemente, outras pessoas, de outros setores da própria Samsung, começaram a perceber que a IA que estavam utilizando aparentava saber muito bem sobre segredos da empresa.

Consequentemente, a falha resultou no vazamento interno de informações e gerou um grande transtorno para a empresa, que acabou proibindo a utilização de IA’s. Portanto, esse caso serve como um lembrete importante dos riscos que acompanham o uso de inteligências artificiais generativas e da necessidade de tomar medidas de segurança adequadas para evitar maiores transtornos.

E agora? Devo abandonar as IA’s? 

 Vamos com calma! Nem tudo está perdido. Não precisamos abandonar as inteligências artificiais, afinal, quando foi a última vez que vimos uma evolução tão grande assim na escala de eficiência? Vai ser difícil surgir uma tecnologia capaz de competir com as IA’s. 

Em resumo: criem uma cultura segura. Não confiem em inteligências artificiais somente porque elas possuem uma vasta base de treinamento. Leiam com atenção os detalhes dos contratos, usem com cautela – pensem bem no que estão inserindo de input! E claro, o mais importante, disseminem essas e outras práticas listadas no texto para o restante da empresa de vocês!  

IA’s estão só começando, saber o como lidar com elas, também. Quanto mais cedo aderirmos às melhores práticas, mais rápido estaremos aptos a nos adaptar. Quanto mais cedo criarmos uma cultura segura ao nosso redor, menor serão os problemas que enfrentaremos no futuro quanto às IA’s. 

E como tudo no mundo da tecnologia, devemos sempre lembrar: não existe bala de prata! Portanto, siga utilizando inteligências artificiais, mas é claro, use com moderação.

Escrito por Pedro Dantas, Head de Cibersegurança na dti digital