Theo NCSC, tài liệu hướng dẫn bảo mật AI dài 20 trang được biên soạn với sự hợp tác của các chuyên gia đến từ Google, Amazon, OpenAI, Microsoft cũng như các tổ chức công nghệ lớn trên thế giới. Đây là thỏa thuận chi tiết đầu tiên về cách thức đảm bảo công nghệ AI được sử dụng an toàn, nhằm mục đích thiết lập một hệ thống thống nhất, hiểu biết chung về các rủi ro liên quan đến AI cùng với chiến lược giảm thiểu hiệu quả.
Tài liệu này đề xuất các hướng dẫn dành cho các nhà cung cấp bất kỳ hệ thống nào sử dụng , cho dù các hệ thống đó được tạo từ đầu hay được xây dựng dựa trên các công cụ và dịch vụ do người khác cung cấp. Việc thực hiện các nguyên tắc này sẽ giúp nhà cung cấp xây dựng các hệ thống AI hoạt động như dự định, sẵn sàng khi cần và hoạt động mà không tiết lộ dữ liệu nhạy cảm cho các bên trái phép.
Ngoài Anh và Mỹ, các nước ủng hộ bản hướng dẫn này bao gồm: Úc, Canada, Chile, , Estonia, Pháp, Đức, Israel, Ý, Nhật Bản, New Zealand, Nigeria, Na Uy, Ba Lan, Singapore, Hàn Quốc.
Thỏa thuận này không mang tính ràng buộc và chủ yếu đưa ra các khuyến nghị chung như giám sát hành vi lạm dụng của hệ thống AI, bảo vệ dữ liệu khỏi các nhà cung cấp phần mềm giả mạo và kiểm tra. Tuy nhiên, theo Giám đốc , bà Jen Easterly cho biết, điều quan trọng là rất nhiều quốc gia đều khẳng định rằng hệ thống AI cần đặt sự an toàn lên hàng đầu, đảm bảo an ninh ngay từ giai đoạn thiết kế công nghệ.
Giám đốc điều hành NCSC, bà Lindy Cameron chia sẻ: “AI đang trong quá trình phát triển với tốc độ chóng mặt và cần có hành động phối hợp quốc tế, giữa các chính phủ và ngành công nghiệp để theo kịp sự phát triển của công nghệ. Những hướng dẫn này đánh dấu một bước quan trọng trong việc hình thành sự hiểu biết chung, mang tính toàn cầu về các chiến lược giảm thiểu và rủi ro mạng xung quanh AI để đảm bảo rằng bảo mật là yêu cầu cốt lõi xuyên suốt trong quá trình phát triển. Đây là nỗ lực quan trọng nhằm nâng cao tiêu chuẩn an ninh mạng AI: một không gian mạng toàn cầu an toàn hơn sẽ giúp tất cả chúng ta nhận ra những cơ hội tuyệt vời của công nghệ này một cách an toàn và tự tin”.
Được nhấn mạnh xuyên suốt tài liệu là các nguyên tắc “An toàn ngay từ thiết kế” và “An toàn theo mặc định”. Đây là các phương pháp tiếp cận chủ động để bảo vệ các sản phẩm AI trước các mối đe dọa xâm nhập và tấn công mạng.
Tài liệu quy định người dùng (bao gồm người dùng cuối hay nhà cung cấp kết hợp thành phần AI bên ngoài) thường không có đủ khả năng hiển thị hoặc chuyên môn để hiểu rõ đầy đủ, đánh giá hoặc giải quyết các rủi ro liên quan đến hệ thống mà họ đang sử dụng. Do đó, theo nguyên tắc “An toàn ngay từ thiết kế”, các nhà cung cấp thành phần AI phải chịu trách nhiệm về kết quả bảo mật của người dùng trong chuỗi cung ứng. Nguyên tắc này có nghĩa là các nhà sản xuất sẽ cố gắng làm cho phần mềm trở nên an toàn trước khi nó được công bố, cần đảm bảo tính an toàn liên tục và tích hợp trong toàn bộ vòng đời của phần mềm.
Đối với các nhà phát triển AI, những cân nhắc cụ thể được nhắc đến trong tài liệu bao gồm ưu tiên an toàn khi chọn kiến trúc mô hình hoặc tập dữ liệu huấn luyện. Đồng thời cũng khuyến nghị các sản phẩm nên đặt các tùy chọn an toàn nhất được đặt theo mặc định. Cuối cùng, các nguyên tắc khuyến khích các nhà phát triển nhận trách nhiệm về tình trạng bảo mật, thay vì chuyển trách nhiệm cho khách hàng và người tiêu dùng.
Các nguyên tắc trong tài liệu khuyến nghị các nhà phát triển nên xem xét các thành phần mã nguồn được lấy từ đâu và áp dụng các biện pháp an ninh tương ứng. Ngày nay, các nhà phát triển công cụ AI thường dựa vào các thành phần của bên thứ ba như mô hình cơ sở, bộ dữ liệu đào tạo và API khi thiết kế sản phẩm của riêng họ. Mạng lưới nhà cung cấp rộng khắp tạo ra bề mặt tấn công lớn hơn, khi một “điểm yếu” có thể tác động tiêu cực đến tính bảo mật của sản phẩm.
Bản hướng dẫn AI khuyến nghị các nhà phát triển nên đánh giá những rủi ro này khi quyết định nên mua các thành phần từ bên thứ ba hay tự sản xuất chúng. Hướng dẫn nêu rõ, khi làm việc với bên thứ ba, các nhà phát triển nên xem xét và giám sát tình hình bảo mật của nhà cung cấp, yêu cầu nhà cung cấp phải tuân thủ các tiêu chuẩn bảo mật giống như tổ chức của mình và thực hiện quét và cách ly mã của bên thứ ba.
Các mối đe dọa đối với AI như tấn công tiêm nhiễm và tấn công đầu độc dữ liệu yêu cầu cần phải có những cân nhắc về bảo mật riêng, một số trong đó được CISA và NCSC nhấn mạnh trong hướng dẫn của họ. Một thành phần của phương pháp tiếp cận “An toàn ngay từ thiết kế” bao gồm việc tích hợp các giải pháp bảo mật xung quanh đầu ra của mô hình để ngăn chặn rò rỉ dữ liệu nhạy cảm và hạn chế hành động của các thành phần AI được sử dụng cho các tác vụ như chỉnh sửa tệp. Các nhà phát triển nên đưa vào các kịch bản mối đe dọa dành riêng cho AI vào thử nghiệm và giám sát thông tin đầu vào của người dùng để phát hiện các nỗ lực khai thác hệ thống.
Trong tài liệu hướng dẫn có đề cập đến thuật ngữ “” (AML), được sử dụng để mô tả việc khai thác các lỗ hổng cơ bản trong các thành phần học máy, bao gồm phần cứng, phần mềm, workflow và chuỗi cung ứng. AML cho phép kẻ tấn công gây ra các hành vi ngoài ý muốn trong hệ thống ML, có thể bao gồm: Ảnh hưởng đến hiệu suất phân loại của mô hình; Cho phép người dùng thực hiện các hành động trái phép; Trích xuất thông tin mô hình nhạy cảm.
Tài liệu hướng dẫn phác thảo các phương pháp thực hành tốt nhất trong suốt các giai đoạn của vòng đời của sản phẩm, bao gồm: thiết kế; phát triển; triển khai; vận hành và bảo trì. Giai đoạn thứ tư nêu bật tầm quan trọng của việc giám sát liên tục các hệ thống AI đã triển khai để phát hiện những thay đổi trong hành vi của mô hình và thông tin đầu vào đáng ngờ của người dùng.
Nguyên tắc “An toàn ngay từ thiết kế” vẫn là một thành phần quan trọng của mọi bản cập nhật phần mềm được thực hiện và các nguyên tắc khuyến nghị cập nhật tự động theo mặc định. Cuối cùng, CISA và NCSC yêu cầu các nhà phát triển tận dụng phản hồi và chia sẻ thông tin với cộng đồng AI lớn hơn để liên tục cải thiện hệ thống của họ. Tài liệu có quy định rằng, khi cần thiết, người dùng có thể báo cáo các vấn đề đến cộng đồng AI, chẳng hạn như thông tin phản hồi về việc tiết lộ lỗ hổng bảo mật, thực hiện hành động để giảm thiểu và khắc phục vấn đề một cách nhanh chóng và phù hợp.
Nguyệt Thu
(Tổng hợp)
15:00 | 20/11/2023
14:00 | 23/11/2023
15:00 | 06/10/2023
13:00 | 17/10/2024
Các chuyên gia an toàn thông tin đã lên tiếng cảnh báo về sự gia tăng của những cuộc tấn công Evil Twin nhằm vào Wifi công cộng tại các sân bay hay quán cafe.
23:00 | 06/10/2024
Ngày 5/10, vòng sơ khảo cuộc thi Sinh viên với An toàn thông tin ASEAN 2024 đã được tổ chức với hình thức trực tuyến, quy tụ gần 1.000 sinh viên đến từ các nước ASEAN.
14:00 | 09/09/2024
Sáng ngày 07/9, tại Hà Nội, Hội thảo UEC Đông Nam Á lần thứ 11 đã diễn ra, với sự tham gia của các nhà khoa học và chuyên gia hàng đầu trong lĩnh vực an toàn thông tin, mật mã và công nghệ viễn thông. Đây là sự kiện thường niên do Trường UEC Nhật Bản tổ chức, nhằm thúc đẩy hợp tác quốc tế trong nghiên cứu khoa học, phát triển công nghệ và trao đổi giáo dục giữa các trường đại học khu vực Đông Nam Á với Nhật Bản.
10:00 | 06/09/2024
“Gã khổng lồ công nghệ” Meta, công ty mẹ của Facebook và Instagram vừa phải nộp phạt 36 triệu USD tại Brazil vì không kiểm soát được tình trạng quảng cáo lừa đảo tràn lan trên nền tảng của mình. Đây là một đòn giáng mạnh vào uy tín của Meta và đặt ra câu hỏi về trách nhiệm của các công ty công nghệ trong việc bảo vệ người dùng khỏi các chiêu trò lừa đảo trực tuyến.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
