Microsoft ha recentemente lanciato la “Secure Future Initiative”, un programma che punta a rivoluzionare la difesa contro le minacce informatiche, sfruttando l’intelligenza artificiale (IA).
Brad Smith, vicepresidente e presidente di Microsoft, ha sottolineato l’urgenza di questa iniziativa in risposta alla crescente intensità e complessità degli attacchi informatici.
Nonostante le aspettative elevate sull’IA come soluzione rivoluzionaria nel campo tecnologico, la realtà presenta sfide complesse. Le aziende, inclusa Microsoft, sono alle prese con l’integrazione dell’IA nei sistemi di sicurezza, una situazione che le espone a potenziali “autogoal computazionali”.
Il problema principale è che la sorveglianza manuale dei rischi di sicurezza, sebbene complessa, è quantitativamente limitata. Con l’avvento dell’IA generativa, sono emersi nuovi rischi prima inesistenti, e il passo accelerato dello sviluppo tecnologico non lascia tempo sufficiente per rafforzare le difese di sicurezza.
Analisti del settore, come Jeff Pollard di Forrester Research, hanno espresso preoccupazioni sull’impossibilità di monitorare e spiegare completamente i modelli linguistici complessi generati dall’IA.
L’IA generativa, nonostante la sua capacità di produrre innumerevoli modelli e algoritmi, può introdurre vulnerabilità di sicurezza proprio perché addestrata su dati e codici preesistenti.
David Johnson, data scientist presso Europol, ha evidenziato il rischio che i modelli di IA possano ereditare le vulnerabilità del codice su cui sono stati formati, potenzialmente riproducendo gli stessi problemi nei nuovi codici generati.
Le aziende che adottano l’IA generativa devono anche affrontare nuovi rischi, come le “iniezioni tempestive”, dove gli aggressori manipolano l’IA tramite comandi basati su testo per estrarre informazioni sensibili. Questa problematica è stata messa in luce da incidenti avvenuti in meno di un anno dal lancio di ChatGPT di OpenAI.
Per esempio, Samsung ha vietato l’uso di ChatGPT dopo una fuga di dati sensibili, un destino condiviso anche da giganti come Apple e Amazon, che hanno limitato l’uso del chatbot AI tra i loro dipendenti.
Un recente incidente di sicurezza ha colpito lo stesso ChatGPT, con una violazione dei dati che ha interessato circa l’1,2% degli abbonati ChatGPT Plus durante un lasso di tempo di nove ore il 20 marzo, esponendo più di un milione di dati utente.
Le perdite economiche globali dovute alla criminalità informatica sono difficili da quantificare, ma stime di Microsoft collocano la cifra oltre i 6 trilioni di dollari, con la prospettiva di raggiungere i 10 trilioni di dollari entro il 2025.
Brian Finch di Pillsbury Law ha riferito a CNBC che l’attuale economia degli attacchi informatici rende più economico attaccare piuttosto che difendersi, suggerendo che l’IA potrebbe risultare più dannosa che utile nella lotta contro gli hacker.
Con l’adozione interna dell’IA, diventa fondamentale l’architettura human-in-loop per la sicurezza. Le aziende si stanno orientando verso approcci “zero trust”, in cui il traffico di rete e le applicazioni sono costantemente verificati per prevenire danni.
Per il momento, l’IA non è in grado di superare gli hacker, quindi la coesistenza rimane cruciale fino a quando l’IA non diventerà pienamente affidabile per la sicurezza informatica.