Passa al contenuto principale

IA

Generative AI Security Scoping Matrix

Panoramica

Con l’adozione sempre più frequente di tecnologie di IA generativa da parte delle organizzazioni, la comprensione delle implicazioni sulla sicurezza diventa fondamentale. Le principali discipline di sicurezza, come la gestione delle identità e degli accessi, la protezione dei dati, la privacy e la conformità, la sicurezza delle applicazioni e la modellazione delle minacce, sono ancora di fondamentale importanza per i carichi di lavoro di IA generativa, proprio come lo sono per qualsiasi altro carico di lavoro. Ma, oltre a sottolineare le pratiche di sicurezza di lunga data, è fondamentale comprendere i rischi unici e le considerazioni di sicurezza aggiuntive che i carichi di lavoro di IA generativa comportano.

La Generative AI Security Scoping Matrix è un framework completo progettato per aiutare le organizzazioni a valutare e implementare controlli di sicurezza durante tutto il ciclo di vita dell’IA. Suddivide le considerazioni sulla sicurezza in categorie specifiche, consentendo un approccio mirato alla protezione delle applicazioni di IA.
 

Generative AI Security Scoping Matrix

Un modello mentale per la classificazione dei casi d’uso

Determinazione dell’ambito

Il primo passo è determinare in quale ambito rientra il caso d’uso. Gli ambiti sono numerati da 1 a 5 per rappresentare dalla minima alla massima proprietà che l’organizzazione ha sul modello di IA e sui dati associati.

L’organizzazione utilizza un servizio pubblico di IA generativa di terze parti, gratuito o a pagamento. Si tratta spesso di applicazioni “di livello consumer” e potrebbero non essere realizzate per uso aziendale o commerciale. In questo ambito, non possiedi né vedi i dati di addestramento o il modello e non puoi modificarli o aumentarli. Invochi le API o utilizzi direttamente l’applicazione in base ai termini di servizio del provider.

Esempio: un dipendente interagisce con un’applicazione di chat di IA generativa tramite un sito web pubblico per generare idee per una campagna di marketing futura.
 

L’organizzazione utilizza un’applicazione aziendale di terze parti che include funzionalità di IA generativa e viene stabilita una relazione commerciale tra l’organizzazione e il fornitore. Le applicazioni dell’ambito 2 hanno spesso termini e condizioni rivolti ai clienti aziendali, progettati per offrire protezioni aggiuntive.

Esempio: utilizzi un’applicazione di pianificazione aziendale di terze parti che include una funzionalità di IA generativa incorporata per aiutare a redigere gli ordini del giorno delle riunioni.
 

L’organizzazione crea la propria applicazione utilizzando un modello di fondazione (FM) di IA generativa di terze parti esistente. Tale modello viene poi integrato direttamente con il carico di lavoro tramite un’interfaccia di programmazione dell’applicazione (API).

Esempio: sviluppi un chatbot per l’assistenza clienti che integra i dati proprietari utilizzando la generazione potenziata da recupero dati (RAG) e sfrutta l’FM Claude di Anthropic tramite le API Amazon Bedrock.
 

L’organizzazione perfeziona un FM di IA generativa di terze parti esistente ottimizzandolo con dati specifici per l’azienda, generando un nuovo modello migliorato e specializzato per il carico di lavoro.

Esempio: hai bisogno di un modello con una profonda esperienza nel settore medico per riepilogare le cartelle cliniche dei pazienti in un sistema di cartelle cliniche elettroniche. Puoi utilizzare il fine-tuning per allineare l’output del sistema in modo che corrisponda allo stile previsto dai medici e per addestrare il sistema con la terminologia specifica del dominio.
 

L’organizzazione sviluppa e addestra un modello di IA generativa da zero utilizzando dati proprietari o acquisiti. Detieni la proprietà di ogni aspetto del modello.

Esempio: l’organizzazione desidera creare un modello per la generazione di contenuti video di alta qualità, ad esempio lo sviluppo di una soluzione personalizzata per l’interpolazione video in super slow motion. Addestrando un modello su dati di video specializzati, puoi concedere in licenza questa tecnologia avanzata di creazione video ad aziende del settore dei media e dell’intrattenimento.
 

A cosa dare la priorità

Hai determinato l’ambito del carico di lavoro e ora devi consentire all’azienda di progredire in modo rapido ma sicuro. Nella Generative AI Security Scoping Matrix identifichiamo cinque discipline di sicurezza che abbracciano i diversi tipi di soluzioni di IA generativa.

  • Governance e conformità: le policy, le procedure e i report necessari per potenziare l’azienda riducendo al minimo i rischi.
  • Legale e privacy: i requisiti normativi, legali e di privacy specifici per l’utilizzo o la creazione di soluzioni di IA generativa.
  • Gestione del rischio: identificazione delle potenziali minacce alle soluzioni di IA generativa e delle mitigazioni consigliate.
  • Controlli: implementazione dei controlli di sicurezza utilizzati per mitigare i rischi.
  • Resilienza: come progettare soluzioni di IA generativa per mantenere la disponibilità e soddisfare gli accordi sul livello di servizio (SLA) aziendali.

Esaminiamo alcuni esempi di opportunità a cui dare priorità.

Considerazioni sulla sicurezza relative a tutti gli ambiti

Governance e conformità

Quando si gestiscono gli ambiti 1 e 2, è fondamentale mantenere la conformità a termini di servizio, contratti di licenza e requisiti di sovranità dei dati. Per le applicazioni dell’ambito 1, è necessario dare priorità all’utilizzo di dati pubblici e non proprietari, poiché i provider potrebbero utilizzare i dati inviati per migliorare i propri modelli o servizi. Le applicazioni dell’ambito 2 devono essere sviluppate con controlli solidi, protezioni contrattuali e opzioni di non adesione per tutelare i dati proprietari e sensibili dell’organizzazione, al fine di garantire che non vengano utilizzati per l’addestramento o il miglioramento dei modelli. Queste applicazioni sono generalmente sviluppate su misura per casi d’uso aziendali.

Per attività che rispondono a esigenze specifiche dell’organizzazione o dei clienti, come il riepilogo di dati aziendali proprietari o sensibili, la generazione di approfondimenti specifici o l’automazione di processi interni, potrebbe essere necessario sviluppare un’applicazione personalizzata degli ambiti da 3 a 5. Tali ambiti consentono di utilizzare i dati proprietari per l’addestramento e il fine-tuning o come output del modello. Per esempio, anche se non esegui il fine-tuning o l’addestramento dei dati per i modelli linguistici di grandi dimensioni (LLM) dell’ambito 3, puoi comunque utilizzare la generazione potenziata da recupero dati (RAG), Knowledge Base e Agent per Amazon Bedrock al fine di migliorare le risposte e le azioni contestuali del modello senza eseguire il fine-tuning.

Negli ambiti 4 e 5, puoi addestrare il modello con dati specifici del dominio, evitando dati sensibili come le informazioni di identificazione personale (PII). Assicurati che il modello risultante sia classificato con il massimo livello di sensibilità dei dati durante l’addestramento. L’accesso al modello per eseguire inferenze deve essere limitato agli utenti autorizzati per tale livello di classificazione. Valuta di aggiungere dati come le PII o i dati transazionali che cambiano di frequente durante l’inferenza utilizzando la RAG o flussi di lavoro basati su agenti anziché incorporarli nel modello stesso.

Legale e privacy

Dal punto di vista legale, è importante comprendere la documentazione del provider del servizio, compresi l’accordo di licenza con l’utente finale (EULA), i termini di servizio (TOS) e qualsiasi altro accordo contrattuale necessario per l’utilizzo dei servizi degli ambiti da 1 a 4. Per l’ambito 5, i team legali devono fornire i propri termini di servizio contrattuali per l’eventuale utilizzo esterno dei modelli. Inoltre, per gli ambiti 3 e 4, devi verificare sia i termini legali del provider del servizio per il relativo utilizzo, sia i termini legali del provider del modello per l’uso dello stesso all’interno del servizio.

Inoltre, devi prendere in considerazione i problemi relativi alla privacy nel caso in cui i requisiti del “diritto alla cancellazione” o “diritto all’oblio” del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea siano applicabili all’azienda. Valuta attentamente l’impatto dell’addestramento o del fine-tuning dei modelli con dati che potrebbero dover essere eliminati su richiesta. L’unico modo pienamente efficace per rimuovere i dati da un modello è eliminarli dal set di addestramento e addestrare una nuova versione del modello. Questo processo non è pratico quando l’eliminazione riguarda una piccola parte dei dati di addestramento totali e può comportare costi molto elevati a seconda delle dimensioni del modello.

Gestione del rischio

Sebbene le applicazioni basate sull’IA siano simili a quelle tradizionali, la loro interattività con modelli linguistici di grandi dimensioni (LLM) richiede maggiore vigilanza e guardrail specifici. È fondamentale identificare i rischi associati ai carichi di lavoro di IA generativa e iniziare a mitigarli.

L’identificazione può generalmente essere effettuata attraverso valutazioni dei rischi e modellazione delle minacce. Per gli ambiti 1 e 2, valuta i rischi derivanti da provider di terze parti e comprendi le loro strategie di mitigazione del rischio. Devi anche riconoscere le tue responsabilità di gestione del rischio in qualità di consumatore dei servizi.

Per gli ambiti 3, 4 e 5, devi implementare una modellazione delle minacce che affronti i rischi per la sicurezza sia dell’IA che dei dati, con particolare attenzione alle minacce uniche per gli LLM come l’iniezione di prompt, che comporta la creazione di input in grado di manipolare le risposte degli LLM, portando potenzialmente a violazioni dei dati o accessi non autorizzati. Le recenti linee guida di NIST, MITRE e OWASP identificano l’iniezione di prompt come una minaccia primaria, paragonabile ad attacchi di iniezione tradizionali come SQL. Limita questo rischio applicando autorizzazioni granulari e filtri dei dati prima che raggiungano l’LLM e utilizzando Guardrail per Amazon Bedrock per una protezione aggiuntiva.

Per affrontare le minacce emergenti relative all’IA generativa è necessario adattare le misure di sicurezza informatica tradizionali e collaborare a stretto contatto con i team di sviluppo per modellare le minacce in modo efficace e definire best practice su misura.

Controlli

L’implementazione di controlli solidi è fondamentale per rispettare i requisiti di conformità, policy e sicurezza, riducendo così i rischi associati ai carichi di lavoro di IA generativa. Una delle considerazioni principali è la gestione delle identità e degli accessi ai modelli. A differenza dei database tradizionali, che offrono controlli di sicurezza granulari, per i modelli di fondazione (FM) non esiste il concetto di controllo degli accessi ai dati archiviati all’interno del modello o ai dati forniti al momento dell’inferenza. Per questo è fondamentale implementare il controllo degli accessi con privilegio minimo ai dati prima che vengano aggiunti come contesto nella richiesta di inferenza.

Per farlo, puoi utilizzare i livelli dell’applicazione che interagiscono con il modello tramite endpoint come Amazon Bedrock. Tali livelli devono incorporare soluzioni di identità come Amazon Cognito o Centro identità AWS IAM per autenticare e autorizzare gli utenti. Personalizzando l’accesso in base a ruoli, attributi e community di utenti, puoi limitare azioni specifiche e contribuire a garantire la protezione dei dati sensibili.

Inoltre, con l’evoluzione dei carichi di lavoro di IA, è importante valutare e aggiornare continuamente i controlli per adattarli alle nuove minacce e ai cambiamenti di sensibilità dei dati. L’integrazione di tecniche avanzate, come la generazione potenziata da recupero dati (RAG), può consentire di fornire dati in tempo reale senza compromettere l’integrità del modello. Queste strategie, unite alla modellazione continua delle minacce, aiutano a mantenere un ambiente sicuro e conforme per le applicazioni di IA generativa. 

Resilienza

La disponibilità è un aspetto fondamentale della sicurezza, come indicato dalla triade C.I.A. (confidenzialità, integrità, disponibilità). Lo sviluppo di applicazioni resilienti è essenziale per soddisfare i requisiti di disponibilità e continuità aziendale dell’organizzazione. Per gli ambiti 1 e 2, devi comprendere se la disponibilità del provider è in linea con le esigenze e le aspettative dell’organizzazione. Valuta attentamente quali conseguenze potrebbero avere per l’azienda le interruzioni nel caso in cui il modello, l’API o il livello di presentazione sottostanti dovessero non essere disponibili. Inoltre, considera come prompt e completamenti complessi potrebbero influire sulle quote di utilizzo o quale impatto potrebbe avere l’applicazione sulla fatturazione.

Per gli ambiti 3, 4 e 5, devi assicurarti di impostare timeout adeguati per tenere conto di prompt e completamenti complessi. Potresti anche dover esaminare la dimensione dell’input dei prompt per tenere in considerazione i limiti di caratteri allocati definiti dal modello. Valuta anche le best practice esistenti per design resilienti come backoff e tentativi e modelli con interruttore automatico per ottenere l’esperienza utente desiderata. Con l’utilizzo dei database vettoriali, è consigliabile disporre di una configurazione a elevata disponibilità e di un piano di disaster recovery per mantenere la resilienza contro diverse modalità di errore.

La flessibilità delle istanze per le pipeline di inferenza e di addestramento dei modelli è una considerazione architettonica importante, oltre alla potenziale prenotazione o provisioning anticipato di calcolo per carichi di lavoro altamente critici. Con l’utilizzo di servizi gestiti come Amazon Bedrock o SageMaker, è necessario verificare la disponibilità delle Regioni AWS e la parità di funzionalità per l’adozione di una strategia di implementazione multi-Regione. Allo stesso modo, per il supporto multi-Regione dei carichi di lavoro di ambito 4 e 5, è necessario tenere conto della disponibilità dei dati di fine-tuning o addestramento in tutte le Regioni. Se utilizzi SageMaker per addestrare un modello di ambito 5, usa i checkpoint per salvare i progressi durante l’addestramento del modello. In questo modo, potrai riprendere l’addestramento dall’ultimo checkpoint salvato, se necessario.

Assicurati di rivedere e implementare le best practice di resilienza delle applicazioni definiti nell’ AWS Resilience Hub, nel principio di affidabilità e nel principio dell’eccellenza operativa del Framework Well-Architected.