Seguridad digital La inteligencia artificial es solo un radio en la rueda de la seguridad: un radio importante pero, lamentablemente, solo uno 16 de septiembre de 2024 • , 3 min. de lectura Eso fue rápido. Mientras la Conferencia RSA rezumaba IA (con o sin mérito) por todos los orificios, el brillo se desvaneció rápidamente. Con una reciente ola de nuevas empresas infestadas de IA que se lanzaron en un contexto de posturas de preadquisición como servicio, y repletas de escondites de «expertos en IA» recién acuñados en preventa a Big Tech, la pelusa de IA tenía que ir a lo grande. Pero con gastos de efectivo similares a trituradoras de papel alimentando un volcán, el ajuste de cuentas tenía que llegar; y llegó. A falta de efectivo para realmente ir a lo grande -gastando los siete u ocho dígitos que cuesta sorber suficientes datos para un atrevido LLM propio- una gran cantidad de nuevas empresas están ahora en oferta, baratas. Bueno, no exactamente en oferta, pero algo que parece y huele como una. Para evitar la creciente presión federal contra la consolidación en el espacio y la regulación más estricta que la acompaña, los grandes están otorgando licencias de la tecnología de las empresas emergentes (por algo que parece el costo de una adquisición) y contratando a sus empleados para que la administren. Solo que no están pagando mucho. Se ha convertido rápidamente en un mercado de compradores. Mientras tanto, siempre hemos considerado que la IA y el aprendizaje automático (ML) son solo un radio en la rueda de la seguridad. Es un radio importante pero, lamentablemente, solo uno. Para complicar aún más las cosas (para los proveedores de tecnología de IA de seguridad incipiente, de todos modos), CISA tampoco parece impresionado por lo que las herramientas de IA emergentes podrían hacer por las operaciones cibernéticas federales. Los proveedores que solo ofrecen IA en el espacio de seguridad básicamente solo tienen una oportunidad para su salsa secreta: vendérsela a alguien que ya tiene el resto de las piezas. No es solo la seguridad de la IA lo que es difícil. Los viejos y aburridos problemas de confiabilidad de la seguridad, como lanzar actualizaciones que no hacen más daño que bien, también son difíciles. Por definición, el software de seguridad tiene acceso e interacción con recursos de bajo nivel del sistema operativo para detectar «cosas malas» que suceden en las profundidades. Esto también significa que una actualización demasiado ansiosa puede congelar las entrañas profundas de su computadora, o muchas computadoras que conforman la nube. Hablando de eso, si bien la tecnología ofrece un tremendo poder y agilidad, los actores maliciosos que se apropian de una propiedad de la nube global a través de algún exploit furtivo pueden derribar una gran cantidad de empresas y pisotear la seguridad. Evaluar la seguridad de mi IA Para ayudar a que la incipiente industria no se descarrile, hay equipos de personas que hacen el duro trabajo de definir puntos de referencia para los LLM que se pueden implementar. Después de todo el gesto de las manos y el humo de hielo seco en el escenario, están tratando de producir una referencia utilizable razonable, y están de acuerdo en que «es un desafío tener una imagen clara de lo que actualmente es y no es posible. Para tomar decisiones basadas en evidencia, necesitamos basar la toma de decisiones en mediciones empíricas». Estamos de acuerdo y aplaudimos su trabajo. Por otra parte, no son una startup, lo que significa que tienen los recursos sustanciales necesarios para mantener a un grupo de investigadores en un grupo el tiempo suficiente para hacer el trabajo duro y aburrido que esto requerirá. Su versión anterior analizaba cosas como «la generación automática de exploits, salidas de código inseguras, riesgos de contenido en los que los LLM aceptan ayudar en los ciberataques y susceptibilidad a ataques de inyección rápida». La versión más nueva también cubrirá «nuevas áreas centradas en las capacidades de seguridad ofensiva, incluida la ingeniería social automatizada, la ampliación de las operaciones cibernéticas ofensivas manuales y las operaciones cibernéticas autónomas». Y lo han puesto a disposición del público, genial. Este es el tipo de cosas en las que grupos como el NIST también han ayudado en el pasado, y ha sido una bendición para la industria. El barco ya zarpó Será difícil para una startup con dos ingenieros en una habitación inventar la próxima cosa genial de LLM y hacer una oferta pública inicial atractiva que recoja ocho cifras en el futuro cercano. Pero aún es posible crear algún producto de nicho en materia de seguridad de IA que haga algo interesante y luego venderlo a las grandes empresas antes de que su globo de dinero pierda todo su dinero o la economía explote.