AI-biztonsági keretrendszert mutatott be a Mend.io — 3 kockázati szinttel

Gyakori probléma a mérnöki szervezetekben, hogy a fejlesztők gyorsan bevezetnek új AI-eszközöket, mint például a GitHub Copilotot vagy LLM-eket, anélkül, hogy a biztonsági csapat tudna róla. Mire a biztonsági szakemberek értesülnek, az AI már élesben fut, valós adatokkal és rendszerekkel dolgozik — írja a MarkTechPost.

A Mend.io új, gyakorlatias keretrendszere, a AI Security Governance: A Practical Framework for Security and Development Teams célja, hogy áthidalja a szakadékot az AI-eszközök bevezetése és a biztonsági csapatok között.

Láthatóság és kockázati szintek

A keretrendszer elsődleges célja a láthatóság biztosítása, hiszen „nem lehet irányítani azt, amit nem látunk”. A Mend.io kockázati szintrendszert alkalmaz az AI-telepítések kategorizálására, elkerülve, hogy minden eszközt egyformán veszélyesnek kezeljenek.

Az összesített pontszám határozza meg a szükséges irányítást: a 5–7 pontot elérő eszközök (alacsony kockázat) csak szabványos biztonsági felülvizsgálatot és könnyű monitorozást igényelnek, míg a 12–15 pontot elérő (magas kockázatú) eszközökhöz teljes biztonsági felmérés, tervezési felülvizsgálat, folyamatos monitorozás és incidenskezelési terv szükséges.

Ellátási lánc és AI-BOM

A keretrendszer kiemeli, hogy a legtöbb AI-biztonsági hiba a rossz hozzáférés-vezérlésből fakad, nem pedig a modellek hibáiból. A keretrendszer bevezeti az AI Bill of Materials (AI-BOM) fogalmát, amely a hagyományos SBOM (Software Bill of Materials) kiterjesztése a modell-artefaktumokra, adathalmazokra, finomhangolási bemenetekre és inferencia-infrastruktúrára.

Az EU AI Act és a NIST AI RMF is kifejezetten hivatkozik az ellátási lánc átláthatóságára, így az AI-BOM hasznos lehet a megfeleléshez, függetlenül attól, hogy melyik keretrendszerhez igazodik a szervezet. A Mend.io keretrendszere 2024. április 15-én kerül bevezetésre.