An toàn thông tin

Ứng dụng GenAI - Rủi ro, thuận lợi và thách thức

ThS. Tạ Quốc Ưng 17/01/2025 09:05

Trí tuệ nhân tạo (GenAI) là công nghệ mới nhất trong một loạt các công nghệ đột phá được tuyên bố hứa hẹn sẽ đáp ứng mong muốn cho các tổ chức nhằm tăng năng suất thông qua tự động hóa các tác vụ.

Tóm tắt:
- GenAI có khả năng tự động hóa nhiều quy trình, từ phát triển phần mềm đến xây dựng chiến lược, và giúp doanh nghiệp khai thác giá trị dữ liệu.
- GenAI cũng mang đến rủi ro về bảo mật và quyền riêng tư, như tấn công dữ liệu và thao túng nội dung.
- Để quản lý rủi ro, cần có các biện pháp an ninh và văn hóa bảo mật chặt chẽ, kết hợp giữa quản lý nhân lực và công nghệ tiên tiến nhằm duy trì tính minh bạch, công bằng, và an toàn khi ứng dụng GenAI.
- Bài viết đưa ra những thuận lợi, thách thức trong ứng dụng tạo sinh GenAI và đưa ra một số đề xuất:
+ Việc triển khai GenAI cần hiểu rõ giá trị và rủi ro trong chuỗi giá trị để tối ưu hóa hiệu quả.
+ Cần áp dụng mô hình chuỗi giá trị để xác định cơ hội tạo ra giá trị và tạo sự khác biệt trên thị trường

Trí tuệ nhân tạo tạo sinh (GenAI) là công nghệ mới nhất trong một loạt các công nghệ đột phá được tuyên bố hứa hẹn sẽ đáp ứng mong muốn cho các tổ chức nhằm tăng năng suất thông qua tự động hóa các tác vụ. Với những nỗ lực trước đây về tự động hóa hoàn toàn trong các hoạt động doanh nghiệp (DN) đặc biệt là trong bảo mật đầy phức tạp, bao gồm cả việc sử dụng các kỹ thuật học máy có thể nói là hiếm khi hoàn toàn thành công và có thể là một sự lãng phí, gây thất vọng cho lãnh đạo DN.

Thực tế cho đến nay, GenAI đang ở đỉnh cao khi công nghệ này thúc đẩy những dự đoán rất tích cực giúp DN tối ưu chi phí đầu tư, nâng cao hiệu suất và giảm thiểu rủi ro... Hình 1 mô tả tổng quan về ứng dụng GenAI trong DN.

h1.png
Hình 1. Tổng quan về ứng dụng GenAI trong DN

Theo các chuyên gia Gartner, gần 90% DN vẫn đang nghiên cứu hoặc thử nghiệm GenAl và hầu hết trong số đó vẫn chưa áp dụng các chính sách hoặc biện pháp kiểm soát kỹ thuật AI TRISM (quản lý niềm tin, rủi ro và bảo mật) và tạo ra làn sóng thay đổi về bảo mật. Các nhà quản lý đang cảm nhận được tác động về sử dụng dữ liệu bí mật không được quản lý, không được kiểm soát trong các ứng dụng của bên thứ ba, rủi ro về quyền riêng tư, vi phạm bản quyền, các cuộc tấn công mới gây ra các hoạt động kinh doanh bị gián đoạn và gây tổn hại tới thương hiệu của DN.

Việc áp dụng GenAl đang diễn ra đòi hỏi phải điều chỉnh bảo mật liên tục về các quy định và yêu cầu tuân thủ. Sự không chắc chắn về kỹ năng của nhân viên làm việc tại trung tâm vận hành bảo mật (SOC) trong tương lai và những thách thức về nhân tài trong lĩnh vực AI. Hình 2 đưa ra cách xây dựng ứng dụng GenAI một cách an toàn.

h2.png
Hinh 2. Xây dựng ứng dụng GenAI một cách an toàn.

Sự cân bằng quan trọng giữa việc khai thác sức mạnh của GenAI và giảm thiểu rủi ro tiềm ẩn rất thích hợp trong việc triển khai các ứng dụng GenAI trong DN. Vì lý trên và bằng các phương pháp nghiên cứu thực tế bài báo sẽ giúp bạn hiểu rõ hơn về ứng dụng GenAI trong khuôn khổ đạo đức, chiến lược quản trị và các biện pháp bảo mật hiện có. Nhấn mạnh việc tối ưu hóa chi phí khi ứng dụng GenAI và vai trò giám sát của con người trong các hệ thống tự động, ủng hộ sự minh bạch và giao tiếp tích cực với các bên liên quan trong suốt vòng đời khi ứng dụng GenAI. Khám phá các rủi ro GenAI cũng như các mối đe dọa mới nổi.

Bài báo cũng đưa ra các giải pháp phòng ngừa và ứng phó rủi ro khi ứng dụng GenAI trong các ứng dụng DN. Và cuối cùng là thách thức và thuận lợi khi ứng dụng GenAI. Hình 3 cho thấy các giai đoạn phát triển các mô hình LLM để xây dựng ứng dụng GenAI từ năm 2019 đến nay.

h3.png
Hình 3. Các giai đoạn phát triển mô hình LLM để xây dựng các ứng dụng GenAI từ năm 2019 đến nay.

Ứng dụng GenAI trong DN

Các công nghệ AI tạo sinh có thể tạo ra các phiên bản mới về nội dung, về chiến lược, về thiết kế và về phương pháp, bằng cách học hỏi từ các kho lưu trữ lớn được tạo bởi AI tạo sinh. Chúng có thể tác động sâu sắc đến doanh nghiệp về khám phá nội dung, về tính sáng tạo, về tính xác thực và về các quy định tự động hóa công việc của con người, cũng như trải nghiệm của khách hàng và nhân viên. Hình 4 thể hiện nguyên lý kiến trúc GenAI.

h4.png
Hình 4. Khung quản trị và nguyên lý kiến trúc GenAI.

Theo các chuyên gia đến từ Gartner việc sử dụng các công cụ GenAI, cụ thể là trợ lý mã hóa AI của các nhà quản lý kỹ thuật phần mềm đã dẫn đến việc tăng 380% các yêu cầu về năng suất của nhà phát triển trong vòng một năm và con số này vẫn tiếp tục tăng. Các nhà quản lý kỹ thuật phần mềm đang chịu áp lực phải đo lường và cải thiện năng suất. Nhưng, làm thế nào để các nhà phát triển phần mềm có thể tận dụng công cụ GenAI, đồng thời tăng năng suất và cải thiện trải nghiệm của nhà phát triển? Tầm nhìn chiến lược về dữ liệu để tạo ra giá trị cho tổ chức hay cách GenAI cải thiện năng suất? Đồng thời xác định nhà phát triển nào hiệu quả nhất để đo lường và cải thiện trải nghiệm của nhà phát triển ứng dụng? Hình 5 chỉ ra cách thức Áp dụng triển khai ứng dụng GenAI trong Doanh nghiệp.

h5.png
Hình 5. Các phương pháp triển khai và kích hoạt AI tạo sinh. (Nguồn Garter)

GenAI tiếp tục mở rộng phạm vi hoạt động và tác động đến các biện pháp bảo mật tốt nhất, bao gồm quản lý mối đe dọa, các hoạt động bảo mật, các công cụ và quyền riêng tư. Thông qua việc phân tích các rủi ro và mối đe dọa trong các ứng dụng GenAI gây ra đã giúp các kiến trúc sư kỹ thuật có thể thực hiện xây dựng các ứng dụng có sự hỗ trợ của GenAI một cách an toàn. Hình 6 chỉ ra các tác động ứng dụng GenAI đến các chiến lược và kiến trúc bảo mật DN.

h6.png
Hình 6. GenAI tác động đến các chiến lược và kiến trúc bảo mật DN

Ứng dụng GenAI tác động đến các chiến lược cơ sở hạ tầng của DN như thế nào.

Các nhà quản lý về cơ sở hạ tầng và khai thác, vận hành (I&O) ngày nay đóng vai trò cốt lõi trong việc tạo nền tảng cho GenAI phát triển. Bởi vì họ đưa ra các chiến lược siêu máy tính AI và thúc đẩy việc điều phối tối ưu quá trình đào tạo và suy luận AI. Cho dù là trên đám mây, trung tâm dữ liệu hay các thuật toán biên thì DN đều cần tối đa hóa lợi nhuận đầu tư vào GenAI. Mặc dù sự quan tâm đến GenAI chủ yếu tập trung vào kết quả kinh doanh, nhưng việc không có chiến lược cơ sở hạ tầng hỗ trợ GenAI có thể dẫn đến tăng chi phí và các vấn đề về hiệu suất và rủi ro khi thực hiện. Do vậy, các nhà quản lý cơ sở hạ tầng cần hiểu rõ các tác động của GenAI đối với các chiến lược cơ sở hạ tầng đám mây và trung tâm dữ liệu, các chiến lược cơ sở hạ tầng I&O.

Mục đích là xây dựng cơ sở hạ tầng có sự hỗ trợ của GenAI, tránh chi phí cao hơn, và các vấn đề về hiệu suất và rủi ro khi thực hiện. Khi ứng dụng GenAI cần cân nhắc đến lập kế hoạch tính toán AI tạo sinh thế hệ mới. Đó là:

(a) Đào tạo/ Tinh chỉnh/RAG trong đó cần tính đến số lượng đường ống AI thế hệ mới, số lượng mô hình trên mỗi đường ống, quy mô mô hình, tần suất đào tạo/đào tạo lại và tăng trưởng dự kiến trong 2-3 năm, v.v.

(b) Suy luận về số lượng đường ống suy luận, quy mô suy luận (hàng nghìn, hàng triệu, hàng trăm triệu), tăng trưởng dự kiến trong 2-3 năm, v.v. Hình 7 đưa ra các cân nhắc về lập kế hoạch tính toán AI thế hệ mới nhằm giúp các nhà quản lý đưa ra kế hoạch ứng dụng GenAI.

h7.png
Hình 7: Các cân nhắc về lập kế hoạch tính toán AI thế hệ mới.

Rủi ro khi ứng dụng GenAI

Các mối đe dọa đang phát triển: Các cuộc tấn công vào AI, các cuộc tấn công vào quyền riêng tư để tìm kiếm thông tin nhạy cảm hoặc dữ liệu mà AI được đào tạo để sử dụng sai mục đích.

Các cuộc tấn công lạm dụng: bao gồm việc chèn thông tin không chính xác từ một nguồn hợp pháp nhưng bị xâm phạm để tái sử dụng.

Các cuộc tấn công né tránh: nỗ lực thay đổi đầu vào để thay đổi cách hệ thống phản hồi với nó.

Các cuộc tấn công đầu độc dữ liệu: xảy ra trong giai đoạn đào tạo bằng cách đưa dữ liệu bị lỗi. Mặc dù AI tạo sinh rất mạnh nhưng kết quả đầu ra của nó có thể không phải lúc nào cũng hoàn hảo. Nó có thể đưa ra kết quả không liên quan hoặc không chính xác mà các nhà phát triển phải xác nhận lại hoặc tinh chỉnh lại. Có một nguy cơ bị lạm dụng từ giả mạo đến tấn công mạng cho nên DN phải thận trọng trước những hậu quả ngoài ý muốn.

An toàn AI có thể được chia thành 4 loại là:

(1). Mối quan ngại về an toàn với GenAI. Chúng xoay quanh nhu cầu cấp thiết phải giải quyết các mối đe dọa an toàn do AI tạo ra, đặc biệt là các mô hình ngôn ngữ lớn (LLM), đi sâu vào sự phức tạp của an toàn AI, thường bị hiểu lầm hoặc định nghĩa hẹp. Trọng tâm là các biện pháp chủ động để ngăn ngừa việc sử dụng sai mục đích và hậu quả không mong muốn của việc triển khai AI.

(2). Công bằng. Chủ đề này nhấn mạnh sự cần thiết của việc nhúng các nguyên tắc công bằng thuật toán vào thiết kế hệ thống AI. Đó là về việc tạo ra các thuật toán không có định kiến và đảm bảo chúng không duy trì hoặc làm trầm trọng thêm các bất bình đẳng hiện có. Các khía cạnh kỹ thuật liên quan đến việc hiểu các nguồn gốc của định kiến, cho dù trong dữ liệu, giả định mô hình hay thiết kế thuật toán, và phát triển các phương pháp để phát hiện và sửa các định kiến này.

(3). Các loại tác hại. Các tác hại tiềm ẩn liên quan đến AI chia thành ba lĩnh vực rộng về tác hại đối với người dùng. Lĩnh vực đầu tiên bao gồm các tác động tiêu cực đến người dùng, chẳng hạn như vi phạm quyền riêng tư hoặc cung cấp thông tin không chính xác. Tác hại xã hội bao gồm các lỗi có hệ thống có thể dẫn đến các vấn đề xã hội rộng lớn hơn, chẳng hạn như củng cố định kiến hoặc góp phần vào thông tin sai lệch. Cuối cùng, tác hại từ những kẻ xấu bao gồm việc sử dụng AI có chủ đích, chẳng hạn như deepfake hoặc các cuộc tấn công mạng tự động.

(4) Phân biệt đối xử - công bằng. Các chủ đề cơ bản liên quan đến an toàn GenAI được mở rộng để bao gồm các cuộc thảo luận về nhiều loại công bằng khác nhau, thủ tục, phân phối và tương tác. Nó cũng phân biệt giữa tác hại cá nhân (ảnh hưởng đến một người) và tác hại phân phối (ảnh hưởng đến một nhóm hoặc xã hội). Khi nói đến tính minh bạch và khả năng giải thích, chúng ta nên phấn đấu vì tính minh bạch trong cách GenAI tạo ra hoạt động và đưa ra lời giải thích cho các quyết định của nó. Để đạt được mục đích đó, hãy thảo luận một số hạn chế của LLM khiến lĩnh vực này trở nên đầy thách thức.

Điều quan trọng cần lưu ý là chúng ta cần xem xét tính chất nhiều mặt của các danh mục rủi ro. Chúng không chỉ đơn thuần là vấn đề dữ liệu mà còn liên quan đến sự tương tác phức tạp giữa công nghệ, xã hội và chính sách. Các mối lo ngại về an toàn của AI xoay quanh nhu cầu cấp thiết nhằm giải quyết vấn đề an toàn các mối đe dọa do AI tạo ra, đặc biệt là các mô hình ngôn ngữ lớn (LLM), sự phức tạp của an toàn AI vốn thường bị hiểu sai hoặc được xác định theo cách tường thuật. Chính vì có các mối đe dọa và rủi ro trên cho nên khi ứng dụng GenAI các nhân viên vận hành SOC thường có các biện pháp chủ động để ngăn chặn việc sử dụng sai mục đích và những hậu quả không lường trước được của việc triển khai GenAI.

Hình 8 là sơ đồ thể hiện Trung tâm Điều hành An ninh là nơi mà đội bảo mật và an toàn thông tin chịu trách nhiệm theo dõi và phân tích tư thế bảo mật của tổ chức trong DN.

h8.png
Hình 8. Sơ đồ trung tâm điều hành an ninh mạng trong DN

Các cuộc tấn công GenAI. Lĩnh vực nhiều DN rất muốn sử dụng sức mạnh của LLM và nhanh chóng kết hợp chúng vào các dịch vụ của mình. Tuy nhiên, việc tạo ra các giao thức bảo mật hoàn chỉnh cho GenAI, đặc biệt là LLM, đã bị chậm, khiến nhiều ứng dụng dễ bị gặp phải các vấn đề rủi ro cao. Các hình thức tấn công GenAI bao gồm:

(1). Tiêm nhắc nhở: Thao tác LLM bằng cách thay đổi các thông số đầu vào, gây ra hành động ngoài ý muốn.

(2). Xử lý đầu ra không an toàn: Đầu ra LLM được chấp nhận nguyên trạng, để lộ các hệ thống phụ trợ những điểm yếu.

(3). Ngộ độc dữ liệu: Dữ liệu huấn luyện bị giả mạo, xuất hiện các lỗ hổng hoặc thành kiến.

(4). Lỗ hổng chuỗi cung ứng: Mô hình đào tạo trước của bên thứ ba và dữ liệu đào tạo dễ bị ảnh hưởng để giả mạo và đầu độc các cuộc tấn công.

(5). Để lộ lọt thông tin: Vô tình để lộ dữ liệu bí mật trong thế hệ thống

(6). Thiết kế plugin không an toàn: Các plugin có thể không an toàn đầu vào và quyền truy cập không đầy đủ kiểm soát dẫn đến ngoài ý muốn hậu quả.

(7). Mô hình từ chối dịch vụ: Từ chối dịch vụ trên mô hình dẫn đến suy thoái dịch vụ hoặc chi phí cao.

(8). Quá nhiều phiên: Cho phép các hành động gây tổn hại đến được thực hiện để đáp ứng bất ngờ/mơ hồ đầu ra từ LLM.

(9). Quá phụ thuộc: Quá phụ thuộc vào LLM; không có sự giám sát có thể phải đối mặt thông tin sai lệch do ảo giác.

(10). Trộm mô hình: Truy cập, sao chép trái phép, hoặc trích xuất quyền sở hữu mô hình LLM.

Hình 9 thể hiện chu kỳ an toàn và bảo mật ứng dụng khi ứng dụng GenAI chỉ ra 6 rủi ro và mối đe dọa bảo mật mà tổ chức của bạn phải giải quyết bao gồm: (1) Tiết lộ thông tin, (2) Gian lận, (3) Sự xâm nhập, (4) Malware, (5) Thao tác nội dung, (6) Thao tác trên mô hình dịch vụ khả dụng.

h9.png
Hình 9. Chu kỳ an toàn và bảo mật ứng dụng khi ứng dụng GenAI.

Quản trị GenAI như thông qua các chiến lược ứng phó rủi ro và quản trị mạnh, kết hợp giám sát của con người và máy móc để giảm thiểu rủi ro GenAI.

Chiến lược quản trị do kỹ sư xử lý bao gồm: (1) quyết định AI, liên lạc, nhắc nhở, cơ sở hạ tầng ứng dụng AI. (2) Đào tạo nhân viên (tự quản trị). (3) Thiết lập chiến lược nhân tài (bao gồm tuyển dụng và nâng cao kỹ năng) phản ánh nhu cầu GenAI đang phát triển của tổ chức bạn.

Chiến lược quản trị do máy xử lý bao gồm: (1) Hệ thống phát hiện bất thường. (2) Hệ thống giám sát trường hợp sử dụng của nhân viên. (3) Phân tích tuân thủ quy định tự động. (4) Hiểu các dịch vụ của nhà cung cấp GenAI của bạn để quản trị. (5) Hợp tác với CIO và CISO của bạn để điều chỉnh khả năng xử lý rủi ro của bạn với mức quản trị phù hợp.

Tối ưu hóa chi phí khi ứng dụng GenAI

Hình 10 là các hoạt động xây dựng giá trị giải pháp AI tạo sinh. Mỗi hoạt động là một phần của giải pháp GenAI xây dựng theo chiều kim đồng hồ và kết thúc là kết quả thể hiện giải pháp có giá trị đối với người mua cuối cùng và đó là kết quả của một suy luận được áp dụng.

h10.png
Hình 10 Xây dựng giá trị giải pháp AI tạo sinh.

Quan điểm về chuỗi giá trị cho AI tạo sinh Gartner xác định các thị trường GenAI chính theo giá trị và rào cản cạnh tranh của chúng thay vì vị trí của chúng trong một “ngăn xếp công nghệ”. Giải pháp tốt nhất để tạo GenAI có giá trị là:

(1) xác định nơi giải pháp của bạn có thể tạo ra nhiều giá trị nhất cho khách hàng doanh nghiệp;

(2) nhận biết phạm vi hoạt động mà sản phẩm và dịch vụ của DN bao phủ;

(3) kết nối phạm vi đó với tiềm năng giá trị của nó đối với doanh nghiệp và khách hàng. Làm thế nào để xác định các cơ hội để tạo sự khác biệt trên thị trường?

(4) xác định nơi giải pháp của DN có thể tạo ra nhiều giá trị nhất cho khách hàng doanh nghiệp;

(5) nhận biết phạm vi hoạt động mà sản phẩm và dịch vụ của bạn bao phủ;

(6) kết nối phạm vi đó với tiềm năng giá trị của nó đối với doanh nghiệp và khách hàng. Làm thế nào để DN xác định và xây dựng một hệ sinh thái để hiện thực hóa giá trị đó?

(7) từ vị trí của bạn, hãy xác định các năng lực mạnh nhất và kém nhất cũng như các đối tác sẽ cung cấp chúng;

(8) xây dựng mô hình kiếm tiền dựa trên sự phân phối giá trị mới trên toàn bộ hệ sinh thái. Sử dụng quan điểm chuỗi giá trị để đưa ra góc nhìn khác về cách các công nghệ hoạt động cùng nhau và tạo ra giá trị cho người tiêu dùng và khách hàng DN. Hình 11 là mô hình tối ưu hóa chi phí khi ứng dụng GenAI.

h11.png
Hình 11. Mô hình tối ưu hóa chi phí khi ứng dụng GenAI.

Tóm lại phân tích chi phí rõ ràng và khám phá chi phí ẩn trong nhiều phương pháp tiếp cận khác nhau. Tránh tùy chỉnh mô hình tốn kém. Lưu ý đến các mô hình AI tự lưu trữ. Ưu tiên sử dụng các mô hình dưới dạng API hoặc thông qua nền tảng, nơi nhà cung cấp cung cấp dưới dạng dịch vụ được quản lý hoàn toàn. Giảm chi phí suy luận mô hình thông qua sự kết hợp của các kỹ thuật - thiết kế nhắc nhở có hướng dẫn, lưu trữ nhắc nhở, lựa chọn mô hình tự động và giám sát việc sử dụng. Thực hiện các đánh giá hàng tháng hoặc hàng quý để đảm bảo tối ưu hóa liên tục và thấm nhuần văn hóa trách nhiệm.

Giải pháp giảm thiểu rủi ro do ứng dụng GenAI

Mặc dù giấc mơ về phản ứng hoàn toàn tự động để tự phục hồi có thể không bao giờ thực sự trở thành hiện thực, các chuyên gia Gartner tin rằng sự kết hợp của các kỹ thuật khác với các phương pháp tiếp cận đa tác nhân sẽ có tác động lớn đến các hoạt động bảo mật nói chung.

Các hoạt động được triển khai nhằm mục đích tăng cường các nhiệm vụ của con người và tăng độ chính xác và tốc độ cho các cuộc điều tra của con người sẽ hiệu quả hơn so với phân tích AI kỹ thuật đơn lẻ điều khiển các phản ứng hoàn toàn tự động, chẳng hạn như ngăn chặn tự động trong tương lai gần. Điều hướng sự hỗn loạn của các tính năng GenAI mới được công bố trong các sản phẩm bảo mật bằng cách giới thiệu các khuôn khổ đánh giá AI theo giá trị kinh doanh, đo lường tác động lên các số liệu hữu hình như tốc độ, độ chính xác và năng suất. Giải pháp giảm thiểu rủi ro do ứng dụng AI tạo sinh bao gồm:

(1) Thiết lập nền tảng vững chắc về bảo mật đám mây, bảo mật dữ liệu và bảo mật ứng dụng. Sau đó, hãy triển khai các biện pháp kiểm soát dành riêng cho GenAI. Ngăn chặn thông tin nhạy cảm được sử dụng trong các ứng dụng GenAI chưa được chấp thuận. Sử dụng các ứng dụng web hoặc SaaS GenAI đã được bảo mật và chấp thuận để sử dụng cho mục đích kinh doanh. Bảo mật các ứng dụng GenAI tùy chỉnh bằng các biện pháp kiểm soát bảo mật GenAI gốc, mã nguồn mở hoặc của bên thứ ba. Hãy áp dụng tư duy học tập liên tục và luôn cập nhật.

(2) Chạy thử nghiệm. GenAI chủ yếu cho các trường hợp sử dụng ứng phó sự cố và quản lý phơi nhiễm không phải là thời gian thực. Đặt ra các mục tiêu ngắn hạn, chẳng hạn như giảm kết quả “dương tính giả” hoặc tăng cơ hội tuyển dụng cho nhân viên cho các hồ sơ ít chuyên môn hơn một chút.

(3) Bảo vệ nhóm vận hành bảo mật càng nhiều càng tốt khỏi các nhiệm vụ bắt nguồn từ bên ngoài nhóm bảo mật để tự động hóa hoàn toàn quy trình ứng phó và xử lý lỗ hổng. Điều này sẽ giúp tránh rủi ro ro khi bạn cần triển khai các kỹ thuật GenAI đầy hứa hẹn sau này.

(4) Hãy sáng suốt về chiến lược của các nhà cung cấp bảo mật nhằm sử dụng GenAI như một yếu tố khác biệt được tuyên bố để thúc đẩy các nền tảng lớn dẫn đến việc khóa chặt nhà cung cấp.

(5) Đừng bỏ qua các yêu cầu đánh giá của nhà cung cấp để giải quyết các thách thức về quyền riêng tư, bản quyền, khả năng truy xuất nguồn gốc và khả năng giải thích.

(6 ) Quản lý rủi ro với AI Trust. Quản lý rủi ro và bảo mật (AI TRISM) là một khuôn khổ kiểm soát và hỗ trợ niềm tin, được cung cấp liên tục bao gồm: (a) Phát hiện nội dung bất thường. (b) Quản trị và bảo vệ dữ liệu. (c) Giảm rủi ro bảo mật ứng dụng. Công nghệ quản lý rủi ro và bảo mật Al Trust đảm bảo việc áp dụng các biện pháp kiểm soát bảo mật cơ bản cho Web, SaaS (phần mềm như một dịch vụ), cơ sở hạ tầng đám mây dưới dạng dịch vụ (laaS) và nền tảng dưới dạng dịch vụ (PaaS). Sau đó thực hiện các biện pháp để bảo mật các ứng dụng GenAI.

Hình 12 là Mô hình giảm thiểu rủi ro GenAI tạo sinh nhờ nâng cao thông tin quản trị.

h12.png
Hình 12. Giảm thiểu rủi ro GenAI tạo sinh nhờ nâng cao thông tin quản trị

(7) quản lý rủi ro thông tin do GenAI tạo ra là: (a). Chia sẻ quá mức, (b). Phản hồi có thể dựa trên nội dung đã cũ hoặc nội dung không liên quan, lan truyền sự thiếu chính xác và thông tin sai lệch. (c). GenAI có thể “ảo giác” và làm sai điều gì đó. (d). GenAI có thể dẫn đến sự phát triển nhanh chóng tạo nội dung, vùng chứa và các đối tượng DW khác. Truy xuất thông tin càng tốt, thông tin của bạn càng dễ quản lý.

Việc tạo các ứng dụng mạnh mẽ và các luồng tự động hóa sức mạnh trở nên dễ dàng hơn. Bằng việc sử dụng Tool AI như tool Copilot của Microsoft 365 hay tool Gemini của Google Workspace có thể mở ra kỷ nguyên mới của nội dung do AI tạo ra và sự mở rộng của ứng dụng rất cần cải thiện quản trị thông tin để giảm thiểu rủi ro.

Xây dựng các chương trình văn hóa bảo mật ứng dụng GenAI.

Mục tiêu chính của SBCP là thay đổi hành vi. Nó bao gồm các hoạt động truyền thống, chẳng hạn như đào tạo nhận thức và mô phỏng lừa đảo, và một loạt các ngành học ảnh hưởng đến hành vi, bao gồm: Quản lý thay đổi tổ chức, thiết kế trải nghiệm người dùng (UX) lấy con người làm trung tâm, DevSecOps, quản lý rủi ro nội bộ. Giảm thiểu rủi ro do khi triển khai các chương trình về hành vi và văn hóa an ninh trong khi ứng dụng AI tạo sinh bao gồm: (a) Phát triển các tiêu chí đào tạo đa phương thức, dựa trên sự thúc đẩy việc mang lại trải nghiệm người dùng. (b) Theo dõi và báo cáo về hiệu quả của chương trình theo số liệu hướng đến kết quả.(c) Xác định sự bất đồng mà nhân viên gặp phải.

(d) Phát triển chương trình đào tạo đa phương thức. (e) Theo dõi và báo cáo về hiệu quả. Hình 13 là mô hình thể hiện chu kỳ an toàn và bảo mật ứng dụng khi ứng dụng GenAI.

Cuối cùng là thành lập một “đội đồng hồ” để đánh giá tình trạng hiện tại và tương lai của chiến lược an ninh mạng. Giao cho nhóm nhiệm vụ xác định, điều tra và báo cáo về các cơ hội mới để tăng tốc khả năng bảo mật mà không gây ra rủi ro không cần thiết.

h13.png
Hình 13. Chu kỳ an toàn và bảo mật ứng dụng khi ứng dụng GenAI.

Tóm lại: Thiết lập cấu trúc thông tin, mô hình cấp phép và lưu giữ rõ ràng cho các giải pháp nơi làm việc kỹ thuật số của bạn cần: xác định thông tin nhạy cảm của bạn và thúc đẩy bảo vệ thông tin và các công cụ ngăn ngừa mất dữ liệu để phân loại và bảo vệ nó. (a) Đánh giá các sản phẩm bổ sung của bên thứ nhất hoặc bên thứ ba giúp cải thiện khả năng hiển thị và các tính năng quản trị trên khắp nơi làm việc kỹ thuật số. (b) Phát triển chương trình đào tạo bắt buộc để giúp người dùng hiểu cách lưu trữ và chia sẻ thông tin tốt nhất. (c) Thúc đẩy cách tiếp cận không tin cậy và xác minh đối với nội dung được tạo bởi tool AI như tool Copilot của Microsoft 365 hay tool AI Gemini của Google Workspace và các tool AI của công nghệ AI khác.

Thuận lợi và thách thức trong ứng dụng GenAI

Thuận lợi

Ứng dụng AI tạo sinh được sử dụng cho nhiều trường hợp, chẳng hạn như trích xuất thực thể; tạo văn bản, hình ảnh, mã và nhạc cụ thể và được cá nhân hóa; diễn giải văn bản; và giải quyết các vấn đề logic. Các trường hợp sử dụng AI tạo sinh có thể sử dụng ở hầu hết các ngành (như dịch vụ khách hàng và tiếp thị được cá nhân hóa) hoặc ứng dụng sâu trong các ngành (như phát hiện gian lận trong tài chính hoặc kế hoạch điều trị được cá nhân hóa trong chăm sóc sức khỏe). Thuận lợi trong ứng dụng GenAI bao gồm:

(1) Tập đoàn Microsoft cung cấp hướng dẫn mở rộng cho AI có trách nhiệm (RAI), điều này rất cần thiết ở mọi giai đoạn vòng đời GenAI bởi vì DN mong muốn ứng dụng GenAI vào sản xuất cần các công cụ AI có trách nhiệm (RAI) như thẻ mô hình, ghi chú minh bạch, bộ công cụ HAX, v.v. để đảm bảo GenAI có đạo đức, có trách nhiệm và minh bạch.

(2) Tìm ra điểm yếu và thành kiến thông qua “Red-teaming” (Đội đỏ - đây là khái niệm mới) là một cách tiếp cận áp dụng các khái niệm an ninh mạng để đánh giá độ tin cậy và tính công bằng của các mô hình AI.

(3) An toàn nội dung khi chặn nội dung gây tổn hại nhờ các công cụ như Azure Content Safety hay Google Perspective API trong khi kiểm duyệt nội dung. Đồng thời cũng đánh giá bộ lọc nội dung, độ chính xác, mức độ tương tác của người dùng và hiệu quả hoạt động được cân bằng với việc tuân thủ các tiêu chuẩn đạo đức và pháp lý. Việc điều chỉnh mô hình phải được nêu trong một tập hợp các trường hợp sử dụng và phải là phương án cuối cùng cho các doanh nghiệp đang cố gắng cải thiện mô hình trên các nhiệm vụ đó. Kỹ thuật nhanh chóng và tạo tăng cường truy xuất (RAG) phải phối hợp với tinh chỉnh theo cách xếp chồng. Chỉ khi thực hiện đúng thì việc tinh chỉnh mới có lợi thế lớn từ việc tăng cường hiệu quả và khả năng tiết kiệm chi phí.

(4) Tất cả các mô hình này đều có thể được truy cập thông qua các API mạnh đảm bảo tuân thủ và bảo mật. Lớp lọc phản hồi đảm bảo chất lượng và kiểm duyệt nội dung, điều cần thiết để xây dựng sự tin cậy trong các ứng dụng GenAI. Hơn nữa, nó liên quan đến việc sử dụng các trình phân loại và công cụ NLP để kiểm tra tính chính xác, công bằng và phù hợp của đầu ra. Một trung tâm xuất sắc AI có thể giúp các doanh nghiệp tích hợp toàn diện LLM và GenAI vào các ứng dụng của họ. Từ đó có thể giải quyết các thách thức về kỹ thuật, văn hóa và đạo đức, các doanh nghiệp có thể sử dụng AI để tăng cường sự đổi mới và khả năng cạnh tranh, đảm bảo thành công lâu dài trong một thế giới ngày càng được hỗ trợ bởi AI.

(5) Dễ dàng triển khai các công cụ giám sát, ghi nhật ký và theo dõi như MLflow, Traceloop và Prompt flow để hiểu hành vi của mô hình, chẩn đoán vấn đề và cải thiện trải nghiệm của người dùng. Hoạt động mô hình ngôn ngữ lớn (LLMOps) là một miền chuyên biệt trong hoạt động học máy (MLOps) tập trung vào việc quản lý các thách thức và rủi ro riêng của LLM. Cả hai đều có chung các mục tiêu như tự động hóa, khả năng tái tạo, giám sát và bảo mật nhưng khác nhau về yêu cầu dữ liệu, độ phức tạp của mô hình và đặc điểm đầu ra. Hoạt động mô hình ngôn ngữ lớn (LLMOps) dễ dàng giải quyết các thách thức riêng như thiên vị, ảo giác và các vấn đề về đạo đức liên quan đến LLM.

Sử dụng các ứng dụng GenAI trong sản xuất cần các công cụ RAI như thẻ mô hình, ghi chú minh bạch, HAX Toolkit, v.v. để đảm bảo AI có đạo đức, có trách nhiệm và minh bạch. Áp dụng khuôn khổ đạo đức có cấu trúc cho GenAI, bao gồm xác định tác hại, các chiến lược giảm thiểu và các công cụ tiêu chuẩn của ngành, để đảm bảo triển khai có trách nhiệm và các hoạt động thực hành phù hợp với các tiêu chuẩn xã hội và pháp lý. Triển khai giám sát và minh bạch liên tục trong các ứng dụng GenAI, nhấn mạnh nhu cầu về an toàn nội dung, giáo dục các bên liên quan và sự tham gia của người dùng để duy trì lòng tin và sự tuân thủ, đồng thời khuyến khích sự tham gia hợp tác của cộng đồng để cùng nhau học hỏi và cải thiện sản phẩm. Luôn nhanh nhẹn và cập nhật thông tin về các phát triển mới nhất của GenAI, tích cực tham gia vào cộng đồng GenAI để chủ động thích ứng với những thách thức và tiến bộ mới. Thực hành này sẽ đảm bảo rằng các hệ thống GenAI an toàn, công bằng và có lợi cho tất cả người dùng.

Thách thức

Mặc dù là một công cụ mạnh mẽ nhưng AI tạo sinh có những thách thức đòi hỏi phải có cách tiếp cận thận trọng khi triển khai. Sử dụng các mô hình và ứng dụng GenAI đặt ra nhiều vấn đề về đạo đức và xã hội. Chúng bao gồm khả năng giải thích, tính công bằng, quyền riêng tư, độ tin cậy của mô hình, tính xác thực của nội dung, bản quyền, đạo văn và tác động môi trường.

Khả năng vi phạm quyền riêng tư về dữ liệu, sai lệch thuật toán và mô hình, các cân nhắc về đạo đức và an toàn khi ứng dụng GenAI. Giải quyết các thách thức kỹ thuật bằng cách tìm kiếm các chiến lược giảm thiểu chống lại ảo giác từ mô hình GenAI, thực thi bảo vệ dữ liệu tuân thủ, các quy định đảm bảo an toàn hệ thống AI trước các mối đe dọa. Nâng cao khả năng diễn giải và duy trì hiệu quả và tính minh bạch của hệ thống ứng dụng GenAI.

Những thách thức về bảo mật của GenAI. Các công cụ như ChatGPT và Bard được hỗ trợ bởi các mô hình ngôn ngữ lớn cung cấp những dấu hiệu ban đầu về cách GenAI sẽ định hình nhiều quy trình kinh doanh. Các công cụ bảo mật mới nổi nhằm bảo mật các ứng dụng GenAI (ví dụ như mô hình và lời nhắc của chúng) còn non trẻ và là động lực của kiến trúc ứng dụng GenAI trở nên phức tạp. Thật khó để phát triển các biện pháp thực hành và khuyến nghị tốt nhất trong môi trường này.

Tập trung bảo mật không hiệu quả. Vi phạm dữ liệu bảo mật đều có yếu tố con người. Mặc dù vậy, và mặc dù các chương trình bảo mật tập trung vào người dùng cuối, hầu hết các lỗi dẫn đến vi phạm dữ liệu đều do các nhà phát triển và quản trị viên hệ thống thực hiện. Do những nguyên nhân sau: (a) thiếu sự trưởng thành, (b) rủi ro do sự vội vã của nhà cung cấp, (c) thách thức về quyền riêng tư và hiệu quả.

Công nghệ GenAI thay đổi rất nhanh. Trong khi việc khai thác các cơ hội của GenAI để cải thiện bảo mật và quản lý rủi ro và để tối ưu hóa tài nguyên, gia tăng phòng thủ chống lại các kỹ thuật tấn công mới nổi hoặc thậm chí giảm chi phí.

Các hoạt động vận hành trong an ninh mạng và an toàn, bao gồm từ lời nhắc trợ giúp tương tác cơ bản đến các thông báo sản phẩm chuyên dụng mới nhằm mục đích trở thành giao diện chính để phản hồi sự cố. Khó khăn trong tự động hóa hoàn toàn việc phát hiện mối đe dọa, phân loại cảnh báo và phản hồi sự cố là mục tiêu “vươn tới mặt trăng” của nhiều sáng kiến phát hiện, điều tra và ứng phó mối đe dọa (TDIR).

GenAI khơi dậy những hy vọng lạc quan thái quá về các hoạt động an ninh, tương tự như những gì máy học không giám sát đã làm đối với việc phát hiện mối đe dọa từ nhiều năm trước. Các nhóm có mức độ trưởng thành cao hơn có thể thiếu thận trọng loại bỏ AI an ninh mạng tạo ra, dựa trên các triển khai ban đầu và chưa trưởng thành của các mô hình ngôn ngữ lớn (LLM) dưới dạng lời nhắc “trợ lý SOC”.

Kết luận

Mặc dù việc ứng dụng GenAI dựa trên ngăn xếp của các nhà cung cấp nhằm để biết những gì cần đưa vào giải pháp của họ, nhưng nó không xác định được nguồn giá trị kinh doanh từ giải pháp đó. Việc xác định giá trị đó đòi hỏi phải áp dụng mô hình chuỗi giá trị, trong đó nêu bật các hành động và sự phụ thuộc cần thiết để tạo ra kết quả có giá trị cuối cùng. Mô hình nào cho phép các nhà cung cấp hiểu cách các công ty tạo ra giá trị cho khách hàng thông qua khả năng, phạm vi và trách nhiệm riêng biệt ở từng giai đoạn của chuỗi giá trị và nhận biết rủi ro khi ứng dụng GenAI. Khi đó bằng cách áp dụng quan điểm chuỗi giá trị và rủi ro của GenAI, các nhà cung cấp có thể đổi mới và xác định nơi giải pháp của họ có thể có tác động lớn nhất.

Cách tiếp cận này giúp DN xác định các lĩnh vực mà họ có thể tạo sự khác biệt so với đối thủ cạnh tranh và tạo ra các đề xuất giá trị độc đáo. Xác định các cơ hội tốt nhất để tạo ra giá trị với GenAI và tạo sự khác biệt trên thị trường. Đồng thời xây dựng hệ sinh thái hiện thực hóa giá trị cốt lõi.

Tài liệu tham khảo:
1. Generative AI in Action by AMIT BAHREE FOREWORD BY ERIC BOYD ©2024 by Manning Publications Co. All rights reserved.
ISBN 9781633436947 Printed in the United States of America.
2. Predicts 2024: AI & Cybersecurity — Turning Disruption Into
an Opportunity Published 4 December 2023 - ID G00800663
By Analyst(s): Jeremy D’Hoinne, Avivah Litan, Nader Henein, Mark Horvath, Akif Khan, Robertson Pimentel, Bart
Willemsen, Dennis Xu, William Dupre.
3. Four Steps to Develop Outcome-Driven Metrics for
Cybersecurity Paul Proctor, Richard Addiscott, Paul Furtado,
Christopher Mixter, and 2 more (G00787963)
4. Cybersecurity Business Value Benchmark Christopher Mixter, Paul Proctor, Sam Olyaei, Richard Addiscott Predicts 2024: AI & Cybersecurity — Turning Disruption Into an Opportunity Jeremy D’Hoinne, Avivah Litan, Nader Henein, Mark Horvath, and 5 more (G00800663)
5. IT Key Metrics Data 2024: Industry Measures - Insights for
Midsize Enterprises Eric Stegman, Jamie Guevara, Shaivya
Kaushal, Aditi Sharma (G00801238)
6. Innovation Insight on Security Behavior and Culture Program
Capabilities William Candrick, Richard Addiscott, Andrew
Walls, Alex Michaels (G00776704)
7. Top Trends in Cybersecurity for 2024 Richard Addiscott,
Jeremy D’Hoin bersecurity for 2024 Richard Addiscott,
Jeremy D’Hoinne, Pete Shoard, Paul Furtado, and 5 more
(G00802944)

b1.png
Bảng các từ viết tắt

(Bài đăng ấn phẩm in Tạp chí TT&TT số 11 tháng 11/2024)

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Ứng dụng GenAI - Rủi ro, thuận lợi và thách thức
POWERED BY ONECMS - A PRODUCT OF NEKO