Os métodos de implementação de IA aumentam as vulnerabilidades, aumentando os riscos em toda a cadeia de suprimentos
À medida que a adoção da inteligência artificial (IA) se acelera, seus métodos de implementação estão evoluindo, trazendo novas dinâmicas e aumentando o potencial de riscos de agregação de eventos cibernéticos.
Esses riscos, de acordo com um relatório recente da Guy Carpenter, surgem de fontes maliciosas e acidentais.
O relatório, parte de uma análise mais ampla da Guy Carpenter, ressalta que a IA representa uma ameaça adicional à cadeia de suprimentos de software. Para empresas que usam soluções de IA de terceiros, como ChatGPT ou Claude, a implantação de modelos de IA na rede de um cliente ou por meio de hospedagem externa pode apresentar riscos significativos.
O comprometimento ou a degradação de um modelo de IA de terceiros pode resultar em interrupções ou comprometimentos, tornando o fornecedor de IA um ponto único de falha para todos os clientes que usam esse modelo. O relatório cita vários casos, incluindo várias interrupções do ChatGPT em 2023 e 2024, bem como o comprometimento da biblioteca de aprendizado de máquina PyTorch em dezembro de 2022, como exemplos de tais vulnerabilidades.
A Guy Carpenter detalha ainda mais as novas superfícies de ataque introduzidas pela implantação da IA. Uma vez implantados, os modelos de IA interagem com os usuários, tornando-os suscetíveis à manipulação. Técnicas como “jailbreaking”, em que os modelos são induzidos a se comportar fora dos limites pretendidos, podem levar à exposição de dados, violações de rede ou outras consequências significativas.
O relatório também faz referência a incidentes como a vulnerabilidade de fevereiro de 2024 em uma biblioteca de código aberto que levou ao roubo de interações do ChatGPT e ao pagamento de indenizações pela Air Canada devido a informações incorretas fornecidas por um chatbot de IA.
Além disso, o documento identifica a privacidade dos dados como uma área crítica de preocupação. Os modelos de IA geralmente requerem conjuntos de dados grandes e confidenciais para treinamento, o que exige a exposição, replicação ou disponibilidade de dados para pipelines de treinamento. O sucesso da tecnologia de IA está intimamente ligado à escala dos dados que ela pode acessar, o que cria fortes incentivos para a agregação de dados.
No entanto, essa centralização de dados também aumenta o risco de agregação. A Guy Carpenter observa um incidente de setembro de 2023 em que pesquisadores de IA expuseram acidentalmente 38 terabytes de dados de clientes devido a uma configuração incorreta, ilustrando o impacto potencial de tais riscos.
No âmbito da segurança cibernética, a IA está sendo cada vez mais usada em operações de segurança, incluindo a orquestração de respostas. Embora a IA possa oferecer respostas rápidas e automatizadas às ameaças, a Guy Carpenter alerta sobre os riscos associados à concessão de privilégios de alto nível aos sistemas de IA.
O relatório menciona uma interrupção recente na Microsoft, potencialmente exacerbada pela resposta automatizada da empresa a um ataque malicioso de DDoS, como um exemplo de precaução. O relatório enfatiza a necessidade de proteções, verificações e supervisão humana nas respostas de segurança orientadas por IA para evitar consequências não intencionais.
Olhando para o futuro, a Guy Carpenter sugere que, à medida que as empresas continuam a integrar a IA em suas operações, os setores de seguros e resseguros devem ver essa tendência como uma oportunidade de crescimento e não como um risco a ser evitado.
O relatório traça paralelos entre a atual onda de adoção da IA e a transição para os serviços em nuvem há uma década, observando que, embora ambos apresentem oportunidades significativas, também introduzem novas dependências de provedores terceirizados. Ao avaliar a implementação da IA pela lente do risco de terceiros, as empresas podem avaliar e gerenciar melhor os possíveis desafios associados a essa tecnologia transformadora.