Les technologies émergentes de cryptage et de sécurité matérielle comme l'informatique de confiance offrent la promesse de protéger les poids des modèles et les données d'inférence en étendant les primitives de calcul de confiance au-delà de l'hôte CPU et dans les accélérateurs IA. Cette approche a le potentiel d'atteindre plusieurs propriétés clés :

1. Attestation cryptographique : les GPU peuvent être attestés de manière cryptographique pour leur authenticité et leur intégrité, garantissant que les poids des modèles ne sont exécutés que sur du matériel autorisé.

2. Poids des modèles chiffrés : les poids des modèles peuvent rester chiffrés jusqu'à ce qu'ils soient mis en place et chargés sur le GPU, empêchant tout accès non autorisé.

3. Chiffrement spécifique au GPU : l'identité cryptographique unique des GPU peut permettre aux poids des modèles et aux données d'inférence d'être chiffrés pour des GPU spécifiques ou des groupes de GPU, assurant le déchiffrement uniquement par les parties autorisées.

Les air gaps sont souvent cités comme un mécanisme de sécurité essentiel, et ce n'est pas sans fondement. La segmentation du réseau est un puissant contrôle utilisé pour protéger les charges de travail sensibles comme les systèmes de contrôle des infrastructures critiques. Au lieu de cela, nous privilégions une isolation réseau flexible qui permet aux systèmes IA de fonctionner hors ligne, séparés des réseaux non fiables, y compris d'Internet.

Les réseaux que nous décrivons doivent éliminer les classes de vulnérabilités qui pourraient permettre à un acteur malveillant ayant accès à un locataire de compromettre les poids des modèles stockés dans un autre locataire. Cela garantit que la confidentialité, l'intégrité et la disponibilité des données et des charges de travail sont maintenues, même face à des menaces internes potentielles ou d'autres compromissions.

Les mesures de sécurité opérationnelle et physique pour les centres de données IA sont nécessaires pour assurer la résilience face aux menaces internes qui peuvent compromettre la confidentialité, l'intégrité et la disponibilité du centre de données et de ses charges de travail. Cela inclut :

• Des contrôles d'accès et une surveillance robustes pour restreindre et auditer l'accès physique aux installations du centre de données et aux infrastructures critiques.
• Une surveillance vidéo et une journalisation complètes pour avoir une visibilité sur toutes les activités au sein du centre de données.
• Des systèmes d'alimentation et de refroidissement redondants pour maintenir la disponibilité face aux perturbations.
• Des procédures sécurisées d'élimination et de désinfection du matériel mis hors service pour prévenir les fuites de données.
• Des sceaux anti-altération et d'autres mesures de sécurité physique pour détecter et dissuader les modifications non autorisées de l'infrastructure.
• Des pratiques rigoureuses de sécurité du personnel, telles que des vérifications des antécédents et une formation à la sensibilisation à la sécurité, pour vérifier et surveiller le personnel du centre de données.
• Des plans d'intervention d'urgence et de reprise après sinistre pour identifier, contenir et récupérer rapidement en cas d'incidents de sécurité ou de pannes.

Étant donné que les développeurs d'IA ont besoin d'avoir l'assurance que leur propriété intellectuelle est protégée lorsqu'ils travaillent avec des fournisseurs d'infrastructure, l'infrastructure IA doit être auditée et conforme aux normes de sécurité applicables. Les normes existantes comme SOC 2, ISO/IEC et les familles NIST s'appliqueront toujours. Cependant, la liste devrait s'étendre pour inclure des normes de sécurité et de réglementation spécifiques à l'IA qui abordent les défis uniques de la sécurisation des systèmes IA.

Ces programmes d'audit et de conformité spécifiques à l'IA aideront à garantir que la confidentialité, l'intégrité et la disponibilité des données et des modèles liés à l'IA sont maintenues. En adhérant à ces normes, les fournisseurs d'infrastructure peuvent démontrer leur engagement à protéger la précieuse propriété intellectuelle de leurs clients développeurs d'IA. Cela, à son tour, favorisera la confiance et permettra aux développeurs d'IA de se concentrer sur l'innovation, sachant que leurs actifs critiques sont sauvegardés.

Open AI croit que l'IA sera transformatrice pour la défense cybernétique, avec le potentiel de niveler le terrain de jeu entre les attaquants et les défenseurs. Les défenseurs du monde entier peinent à ingérer et à analyser les vastes quantités de signaux de sécurité nécessaires pour détecter et répondre aux menaces pesant sur leurs réseaux. De plus, les ressources importantes nécessaires pour construire un programme de sécurité sophistiqué placent une défense cybernétique significative hors de portée de nombreuses organisations.

L'IA présente une opportunité pour permettre aux défenseurs cybernétiques et améliorer la sécurité. L'IA peut être intégrée dans les flux de travail de sécurité pour accélérer les ingénieurs de sécurité et réduire la pénibilité de leur travail. Chez Open AI, ils utilisent leurs modèles pour analyser les télémétries de sécurité à haut volume et sensibles qui seraient autrement hors de portée pour des équipes d'analystes humains. En tirant parti de l'IA, les défenseurs peuvent détecter, enquêter et répondre plus efficacement aux menaces, aidant à combler l'écart avec les attaquants sophistiqués.

Open AI reconnaît que les mesures de sécurité qu'ils proposent ne sont probablement que le début, et qu'une recherche continue en matière de sécurité est nécessaire compte tenu de l'évolution rapide du paysage des menaces liées à l'IA. Ils reconnaissent qu'il n'y a pas de systèmes parfaits et de sécurité parfaite.

Pour y remédier, Open AI souligne la nécessité de :

1. Résilience : les contrôles de sécurité doivent offrir une défense en profondeur, car il y aura inévitablement des lacunes et des vulnérabilités qui seront découvertes au fil du temps.

2. Redondance : s'appuyer sur une seule mesure de sécurité ne suffit pas. Plusieurs couches de protection sont nécessaires pour assurer la résilience globale du système.

3. Recherche continue sur la sécurité : une recherche continue est nécessaire pour comprendre comment contourner les mesures de sécurité proposées, ainsi que pour identifier et combler les lacunes qui émergent. Cela inclut à la fois la recherche offensive et défensive pour rester à la pointe des menaces potentielles.