Le tecnologie emergenti di crittografia e sicurezza hardware come il calcolo confidenziale offrono la promessa di proteggere i pesi del modello e i dati di inferenza estendendo i primitivi di calcolo attendibili oltre l'host CPU e negli acceleratori AI. Questo approccio ha il potenziale per raggiungere diverse proprietà chiave:

1. Attestazione crittografica: le GPU possono essere attestate crittograficamente per autenticità e integrità, assicurando che i pesi del modello vengano eseguiti solo su hardware autorizzato.

2. Pesi del modello crittografati: i pesi del modello possono rimanere crittografati fino a quando non vengono preparati e caricati sulla GPU, impedendo l'accesso non autorizzato.

3. Crittografia specifica della GPU: l'identità crittografica univoca delle GPU può consentire ai pesi del modello e ai dati di inferenza di essere crittografati per GPU specifiche o gruppi di GPU, garantendo la decrittografia solo da parte di parti autorizzate.

I gap di rete sono spesso citati come un meccanismo di sicurezza essenziale e questo non è infondato. La segmentazione della rete è un potente controllo utilizzato per proteggere i carichi di lavoro sensibili come i sistemi di controllo per le infrastrutture critiche. Invece, diamo priorità all'isolamento flessibile della rete che consente ai sistemi AI di funzionare offline, separati dalle reti non attendibili, incluso Internet.

Le reti che descriviamo devono eliminare le classi di vulnerabilità che potrebbero consentire a un attore malevolo con accesso a un tenant di compromettere i pesi del modello memorizzati in un altro tenant. Ciò garantisce che la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro siano mantenute, anche di fronte a potenziali minacce interne o ad altre compromissioni.

Le misure di sicurezza operativa e fisica per i data center AI sono necessarie per garantire la resilienza contro le minacce interne che possono compromettere la riservatezza, l'integrità e la disponibilità del data center e dei suoi carichi di lavoro. Ciò include:

• Controlli di accesso e monitoraggio robusti per limitare e verificare l'accesso fisico alle strutture del data center e alle infrastrutture critiche.
• Videosorveglianza e registrazione completa per fornire visibilità su tutte le attività all'interno del data center.
• Sistemi di alimentazione e raffreddamento ridondanti per mantenere la disponibilità di fronte a interruzioni.
• Procedure sicure di smaltimento e sanificazione per l'hardware dismesso per prevenire la perdita di dati.
• Sigilli anti-manomissione e altre misure di sicurezza fisica per rilevare e scoraggiare modifiche non autorizzate all'infrastruttura.
• Pratiche rigorose di sicurezza del personale, come controlli dei precedenti e formazione sulla consapevolezza della sicurezza, per verificare e monitorare il personale del data center.
• Piani di risposta agli incidenti e di ripristino di emergenza per identificare, contenere e recuperare rapidamente da incidenti di sicurezza o interruzioni.

Poiché gli sviluppatori di AI hanno bisogno di garanzie che la loro proprietà intellettuale sia protetta quando lavorano con i fornitori di infrastrutture, l'infrastruttura AI deve essere sottoposta a audit e conforme agli standard di sicurezza applicabili. Gli standard esistenti come SOC 2, ISO/IEC e le famiglie NIST saranno ancora applicabili. Tuttavia, ci si aspetta che l'elenco cresca per includere standard di sicurezza e regolamentazione specifici per l'AI che affrontino le sfide uniche della sicurezza dei sistemi AI.

Questi programmi di audit e conformità specifici per l'AI aiuteranno a garantire che la riservatezza, l'integrità e la disponibilità dei dati e dei modelli relativi all'AI siano mantenute. Aderendo a questi standard, i fornitori di infrastrutture possono dimostrare il loro impegno nella protezione della preziosa proprietà intellettuale dei loro clienti sviluppatori di AI. Ciò, a sua volta, favorirà la fiducia e consentirà agli sviluppatori di AI di concentrarsi sull'innovazione, sapendo che i loro asset critici sono protetti.

Open AI ritiene che l'AI sarà trasformativa per la difesa informatica, con il potenziale di livellare il campo di gioco tra gli attaccanti e i difensori. I difensori in tutto il mondo faticano a raccogliere e analizzare la vasta quantità di segnali di sicurezza necessari per rilevare e rispondere alle minacce alle loro reti. Inoltre, le risorse significative richieste per costruire un sofisticato programma di sicurezza rendono la difesa informatica significativa fuori dalla portata di molte organizzazioni.

L'AI presenta un'opportunità per abilitare i difensori informatici e migliorare la sicurezza. L'AI può essere incorporata nei flussi di lavoro di sicurezza per accelerare gli ingegneri della sicurezza e ridurre il lavoro manuale nel loro lavoro. In Open AI, utilizzano i loro modelli per analizzare telemetria di sicurezza ad alto volume e sensibile che altrimenti sarebbe fuori dalla portata di team di analisti umani. Sfruttando l'AI, i difensori possono rilevare, indagare e rispondere più efficacemente alle minacce, contribuendo a colmare il divario con gli attaccanti sofisticati.

Open AI riconosce che le misure di sicurezza proposte sono probabilmente solo l'inizio e che è necessaria una ricerca continua sulla sicurezza data la rapida evoluzione dello stato della sicurezza AI. Riconoscono che non esistono sistemi perfetti e nessuna sicurezza perfetta.

Per affrontare questo, Open AI sottolinea la necessità di:

1. Resilienza: i controlli di sicurezza devono fornire una difesa in profondità, poiché inevitabilmente ci saranno lacune e vulnerabilità che verranno scoperte nel tempo.

2. Ridondanza: fare affidamento su una singola misura di sicurezza non è sufficiente. Sono necessari più livelli di protezione per garantire la resilienza complessiva del sistema.

3. Ricerca continua sulla sicurezza: è necessaria una ricerca continua per capire come aggirare le misure di sicurezza proposte, nonché per identificare e chiudere eventuali lacune che emergono. Ciò include sia la ricerca offensiva che quella difensiva per rimanere al passo con le potenziali minacce.