Nesta terça-feira, 13, a Tenable comunicou que a sua equipe de pesquisa encontrou uma falha na plataforma de nuvem Azure Health Bot Service, usada por profissionais da saúde para implantarem assistentes de saúde virtuais com uso da Inteligência Artificial. Sendo assim, a empresa descobriu que vulnerabilidades críticas permitiam acesso a recursos entre usuários da nuvem (cross-tenant) dentro do serviço e ainda, de acordo com o nível de acesso concedido, é provável que o movimento lateral para outros recursos fosse possível.
Em seu relatório, a equipe da Tenable descobriu que as vulnerabilidades envolvem falhas na arquitetura subjacente do serviço de chatbot de IA, em vez dos modelos de IA em si. De acordo com a Microsoft, as mitigações para esses problemas foram aplicadas a todos os serviços e regiões afetados, não sendo necessárias ações dos clientes.
De acordo com Lucas Tamagna-Darr, diretor sênior de Engenharia da Tenable, “LLMs e IA em geral criaram muita empolgação em organizações globalmente, mas também deixaram muitas equipes de segurança com perguntas sem resposta sobre como podem gerenciar os riscos”.
Tamagna-Darr, ainda avisa que, inevitavelmente, veremos uma onda de novos produtos e recursos voltados para proteger modelos e prompts e bloquear qualquer atividade maliciosa. “Dada a incerteza em torno da confiabilidade e praticidade dos ataques a LLMs e a capacidade das ferramentas de bloquear esses ataques sem negar o valor dos LLMs, pode ser melhor observar esse espaço antes de se apressar. Enquanto isso, as equipes de segurança podem tomar medidas concretas, bem compreendidas e bem definidas para reduzir seus riscos e proteger a superfície de ataque. Elas também podem estabelecer políticas corporativas fortes sobre o uso de LLMs e aplicativos com tecnologia LLM e conduzir o monitoramento para garantir que essas políticas sejam seguidas”.