Jag hade nyligen möjlighet att sitta ner med Francis de Sousa, COO för Google Cloud, bakom scenen vid ett event i Los Angeles. De Souza talade i en universitetsprofessors lugna, mätta ton mitt i bruset och gav några användbara råd till företag som försöker navigera i AI-säkerhetsögonblicket vi alla upplever. ”Jag tror att det kommer att bli en övergångsperiod, och då kommer vi till en bättre plats”, sa han.
Han pratade inte om Google vid den tiden, men det är tydligt att även Google fortfarande klurar på saker.
De Souzas centrala budskap var ett som säkerhetsexperter har uppmanat chefer att internalisera i flera år, och ett som nu gjorts mer angeläget av AI: ”Säkerhet kan inte vara en eftertanke.” ”När företag ger sig ut på denna AI-resa måste de ta en plattformsstrategi”, sa han. ”Säkerhet kan inte läggas på som en eftertanke, och det kan inte heller överlåtas till anställda i deras egna händer.” Han varnade specifikt för ”shadow AI” (anställda som når ut till konsumentverktyg utan organisatorisk tillsyn) och hävdade att företag måste kräva säkerhet, styrning och revisionsbarhet från sina plattformar från början. ”Det finns inget sådant som en AI-strategi utan en datastrategi och en säkerhetsstrategi. De måste samarbeta.”
Det är värt att notera att han inte marknadsförde Google Cloud ensam. När jag insåg att hans råd lät som en Google-annons tryckte han tillbaka. Han sa att Google är engagerad i en strategi för flera moln och hävdade att företag som tror att de verkar på ett enda moln nästan säkert inte är det. ”Även om de väljer ett enda moln, förlitar de sig på SaaS-applikationer och de har även affärspartners som kan använda olika moln”, sa han. ”Det är viktigt för företag att ha en konsekvent säkerhetsställning över moln och modeller.”
Han menade också att den gamla försvarsmodellen är för långsam eftersom hotbilden i grunden har förändrats. Han noterade att den genomsnittliga tiden från första kompromiss till överlämnande till nästa steg av en attack har minskat från 8 timmar till 22 sekunder, och attackytan har expanderat långt utanför traditionella nätverksgränser. ”Förutom de vanliga tillgångarna finns det en modell. Det finns en datapipeline som används för att träna modellen. Det finns en agent, det finns uppmaningar. Allt detta måste säkras.”
Ett av hoten de Souza varnade för är att inte få tillräckligt med uppmärksamhet. Det betyder att agenter som rör sig genom ett företags interna system kan dyka upp bortglömda datalager som ingen har tänkt på på flera år. ”Många organisationer har gamla SharePoint-servrar (och åtkomstkontroller) som de inte riktigt har uppdaterat, vilket inte var ett problem eftersom ingen riktigt visste var servrarna fanns. Men agenter som gick runt i företaget skulle hitta dessa datatillgångar och avslöja den data som fanns där.”
I hans sinne är svaret att möta maskinens hastighet för att matcha maskinens hastighet. ”Vi ser nu uppkomsten av AI-native, komplett agentförsvar där organisationer kan driva agenter som driver försvar,” sa han. ”Istället för att ha ett mänskligt ledd försvar, eller att ha en människa inblandad, kan människor nu övervaka ett helt agentbaserat försvar”, sa han och tillade att detta inte längre bara är en teknikfråga, utan en ledarskapsfråga. ”Det här är en fråga på styrelsenivå och en ledningsfråga. Det är inte bara en säkerhetsgruppsfråga.”
Men medan AI tar på sig mer försvarsarbete, finns det en brist på kvalificerad talang för att övervaka det. Dessutom sprider sig de sårbarheter som AI själv introducerar snabbare än vad säkerhetsteam kan åtgärda dem. ”Vi kommer att behöva människor för att hantera en buggkatastrof,” sa Lee Kisner, LinkedIns chef för informationssäkerhet, till New York Times den här veckan och tillade att han inte förväntar sig att branschen ska förstå AI-säkerhet på ett hållbart och långsiktigt sätt under åtminstone några år.
Nu tillbaka till själva plattformsleverantören. Under de senaste veckorna har The Register publicerat en serie rapporter som dokumenterar hur en serie Google Cloud-utvecklare drabbades av femsiffriga räkningar på grund av bedrägliga API-anrop mot Gemini-modeller. Många av utvecklarna hade aldrig använt den tjänsten eller avsiktligt aktiverat den. Händelsen följde ett välbekant mönster. API-nycklar som ursprungligen distribuerades för Google Maps och offentliggjordes på Googles egen väg fick i hemlighet åtkomst till Gemini efter att Google utökat sin omfattning utan att uttryckligen avslöja ändringarna.
Rod Dunnan, VD för intervjuförberedande plattform Prentus, sa att notan nådde $10 138 på cirka 30 minuter efter att den komprometterade API-nyckeln togs i bruk av angriparna. Isuru Fonseka, en Sydney-baserad utvecklare vars konto också var intrång, märkte en avgift på cirka 17 000 AU$ trots att han trodde att det fanns en utgiftsgräns på 250 $. Vad ingen av dem visste var att Googles automatiserade system uppgraderade sina faktureringsnivåer baserat på deras kontohistorik, vilket i praktiken höjde gränsen till $100 000 utan deras uttryckliga medgivande.
Google återbetalade båda efter att The Register publicerade sin första rapport. Ändå sa Google till The Register att de inte har några planer på att ändra sin policy för automatisk nivåuppgradering, och föredrar att förhindra avbrott över att upprätthålla användarspecificerade budgetinställningar.
Under tiden är en annan fråga vad som händer när utvecklare försöker stänga av saker. The Register rapporterade denna vecka att en utredning av säkerhetsföretaget Aikido fann att även utvecklare som upptäcker och snabbt tar bort komprometterade nycklar kanske inte är säkra. Enligt Aikidos upptäckter sprider sig Googles återkallelse gradvis genom hela infrastrukturen, vilket gör att en angripare kan behålla nyckeln i upp till 23 minuter. Framgångsfrekvensen under denna period är oförutsägbar, med mer än 90 % av förfrågningarna fortfarande autentiserade inom några minuter, och angripare kan använda den tiden för att stjäla filer och cachade konversationsdata från Tvillingarna, sa Aikido-forskaren Joseph Leong till The Register.
Leon påpekade också att Googles egna nya autentiseringsformat inte verkar ha samma problem. API-uppgifter för tjänstekontot återkallas på cirka 5 sekunder, medan Geminis nya nyckelformat med AQ-prefix tar cirka 1 minut. ”Båda avrättas i Google-skala”, skrev han i en relaterad tidning om Aikido. ”Båda föreslår att detta är tekniskt lösbart med en Google API-nyckel också.” Så, enligt Leon, är 23-minutersfönstret en fråga om företagets prioriteringar, inte tekniska begränsningar.
Det är värt att överväga detta när man läser de Souzas råd, som är bra och bör tas på största allvar. Han har inte fel, men det finns ett glapp mellan vad plattformarna för närvarande ordinerar och hur snabbt plattformarna själva anpassar sig, och detta är också bra att känna igen.
Om du köper via länkar i våra artiklar kan vi tjäna en liten provision. Detta påverkar inte vårt redaktionella oberoende.
