AI „to inny kaliber” zagrożeń. Na co musimy być gotowi?

Zagrożenia związane z AI dotyczą już nie tylko świata technologii, ale przenikają do biznesu, administracji i sfery publicznej. Im szybciej wdrażamy nowe rozwiązania, tym pilniejsze staje się pytanie o to, jak je kontrolować i zabezpieczać.

AI staje się dziś nie tylko technologią, lecz także potencjalnym wektorem ataku i narzędziem geopolitycznego wpływu. W rozmowie z prof. Jerzym Surmą ze Szkoły Głównej Handlowej w Warszawie przyglądamy się, jakie wyzwania stawia przed nami ta nowa rzeczywistość i co możemy zrobić, aby nad nią zapanować.

Mikołaj Rogalewicz, CyberDefence24: Zacznijmy może od tego, czym właściwie jest bezpieczeństwo sztucznej inteligencji? Czy chodzi o ochronę użytkowników przed systemami AI czy o zabezpieczenie przed ich wykorzystaniem przez przestępców?

Prof. Jerzy Surma: Bezpieczeństwo AI można analizować na kilku poziomach. Pierwszy wymiar to problemy wynikające z samej konstrukcji i funkcjonowania systemów opartych na uczeniu maszynowym. Tego typu modele, np. duże modele językowe, z definicji mogą generować błędne, a czasem wręcz absurdalne odpowiedzi. Mówimy tutaj o tzw. „halucynacjach”, czyli sytuacjach, w których AI podaje informacje niezgodne z rzeczywistością. I to nie jest drobiazg, ponieważ takie błędne odpowiedzi mogą prowadzić do realnych problemów, szczególnie gdy użytkownicy traktują je jako wiarygodne źródło.

Drugi wymiar bezpieczeństwa dotyczy możliwości celowego atakowania tych systemów. Trzeba mieć świadomość, że sztuczną inteligencję można zhakować tak samo jak inne systemy informatyczne. Jeśli cyberprzestępca zna sposób działania danego modelu, może doprowadzić do tego, że AI zacznie się zachowywać zgodnie z jego intencjami. 

Wreszcie trzeci wymiar, czyli wykorzystywanie AI jako narzędzia przestępczego. W tym przypadku sztuczna inteligencja staje się czymś w rodzaju „pistoletu” w rękach cyberprzestępcy. Może być używana do automatyzacji ataków, tworzenia fałszywych treści czy podszywania się pod ludzi… Lista potencjalnych zagrożeń jest bardzo długa.

Zastosowanie AI w firmach

W jaki sposób firmy najczęściej wykorzystują AI?

Na wstępie warto zrobić pewne rozróżnienie. Mówiąc o sztucznej inteligencji, mamy dziś do czynienia z bardzo szerokim pojęciem. Dla porządku dobrze jest więc podzielić AI na dwa główne obszary.

Pierwszy to tzw. klasyczna sztuczna inteligencja, rozwijana od lat 60. XX wieku, wykorzystywana głównie w analizie danych ilościowych i budowaniu systemów eksperckich. To AI, która od dawna funkcjonuje w przemyśle czy finansach. Drugi, znacznie nowszy, to obszar generatywnej sztucznej inteligencji, z którą mamy do czynienia od kilkunastu lat. I to właśnie ten typ AI, oparty na przetwarzaniu danych nieustrukturyzowanych, czyli m.in. tekstów, obrazów czy dźwięków, wzbudza dziś największe zainteresowanie i obawy. 

W kontekście tekstów mówimy tu o tzw. dużych modelach językowych (LLM -Large Language Models), takich jak ChatGPT. W firmach generatywna AI, zwłaszcza modele językowe, wykorzystywana jest najczęściej wewnętrznie. Przykładem może być stworzenie chatbota, który pełni rolę wewnętrznego helpdesku. Pracownicy mogą zadawać mu pytania związane z obsługą komputera, drukarki czy oprogramowania, a system na podstawie wcześniej nauczonych danych tekstowych udziela odpowiedzi. 

Tego typu zastosowanie jest bardzo popularne, ponieważ pozwala firmom na przetestowanie działania AI w bezpiecznym, kontrolowanym środowisku.

Z jednej strony ułatwia to wdrażanie AI w organizacji, ale z drugiej, w przypadku błędów czy niedociągnięć, ryzyko jest stosunkowo niskie, ponieważ konsekwencje ograniczają się do wewnętrznych struktur firmy.

A jak wygląda zastosowanie dużych modeli językowych przez firmy w relacjach z klientami zewnętrznymi?

Zastosowanie dużych modeli językowych w relacjach firm z klientami zewnętrznymi staje się coraz powszechniejsze, zwłaszcza w obszarze obsługi klienta. Przykładem są chatboty oparte na generatywnej AI, które pełnią rolę doradców lub konsultantów i mają częściowo zastępować tradycyjne centra telefoniczne. Firmy wykorzystują je do automatyzacji odpowiedzi na pytania klientów, udzielania wsparcia technicznego czy personalizowania komunikacji. 

Trzeba jednak zaznaczyć, że jesteśmy dopiero na wczesnym etapie wdrażania tych technologii. Obecne rozwiązania wciąż mają swoje ograniczenia, a wiele ich zastosowań pozostaje w fazie testów i eksperymentów. To oznacza, że choć potencjał jest ogromny, efektywność i bezpieczeństwo takich systemów wciąż wymagają dalszego dopracowania.

Ataki na systemy AI

A zatem skoro firmy wykorzystują AI zarówno wewnętrznie, jak i w relacjach z klientami, w jaki sposób tego typu systemy mogą stać się celem ataków? Jakie są najczęstsze typy zagrożeń i na czym konkretnie polegają?

Przede wszystkim trzeba pamiętać, że mimo całej swojej złożoności, nawet generatywna sztuczna inteligencja jest na końcu dnia systemem informatycznym, czyli połączeniem sprzętu i oprogramowania. W związku z tym podlega takim samym zasadom bezpieczeństwa jak inne systemy IT.

W klasycznym modelu bezpieczeństwa mówimy o tzw. triadzie CIA: Confidentiality (tajność), Integrity (integralność) i Availability (dostępność). I właśnie te trzy obszary są także punktami potencjalnych ataków na systemy AI. Tajność oznacza, że atakujący może próbować wydobyć z systemu informacje, które nie powinny być ujawnione. Przykładowo użytkownik rozmawiający z chatbotem może uzyskać dostęp do historii rozmów innych użytkowników, jeśli system nie został odpowiednio zabezpieczony. To może prowadzić do poważnych naruszeń prywatności, np. ujawnienia danych klientów.

W przypadku integralności mówimy o atakach, które mają na celu zakłócenie logiki działania systemu. To już bardziej wyrafinowany typ ataku, wymagający ingerencji w proces uczenia modelu, np. poprzez tzw. fine-tuning lub podstawienie danych treningowych. Tego typu ataki są trudniejsze do przeprowadzenia, ale potencjalnie bardzo groźne, ponieważ mogą zmienić sposób, w jaki AI generuje odpowiedzi.

Ostatni z tych rodzajów ataków to atak na dostępność. To klasyczny atak typu denial of service, czyli przeciążenie systemu tak dużą liczbą zapytań, w przypadku ataku wolumetrycznego, że przestaje on odpowiadać. Dotyczy to również usług opartych na AI. Jeśli przekroczony zostanie próg ich możliwości operacyjnych, system po prostu spowalnia działanie, a nawet przestaje działać.

Jak duże jest to zagrożenie obecnie?

Na dziś nie mamy wielu znanych przypadków ataków na systemy AI na dużą skalę. I to z dwóch powodów. Po pierwsze, firmy, nawet jeśli miały takie incydenty, raczej niechętnie dzielą się tą informacją publicznie. Po drugie, technologia generatywnej sztucznej inteligencji nie jest jeszcze wdrożona na tyle szeroko, aby takie incydenty były masowe czy mocno zauważalne.

Ale to może się szybko zmienić. Moim zdaniem już za pół roku możemy zobaczyć pierwsze poważniejsze przypadki, a w perspektywie kilku lat te zagrożenia mogą osiągnąć skalę porównywalną z atakami typu ransomware, które dziś są jednymi z najgroźniejszych zagrożeń w świecie cyberbezpieczeństwa.

AI w systemach cyberbezpieczeństwa

Rozmawiamy o zagrożeniach związanych z wykorzystaniem sztucznej inteligencji. Ale czy AI może działać również w drugą stronę? Czy być wykorzystywana do zabezpieczania systemów i wspierania cyberbezpieczeństwa?

Systemy AI, zarówno klasyczne, jak i generatywne, są już od lat stosowane jako narzędzia wspierające bezpieczeństwo cyfrowe w organizacjach. Zaczęło się tak naprawdę od klasycznej sztucznej inteligencji, która była używana chociażby do wykrywania anomalii w sieciach komputerowych. W szczególności chodzi o analizę incydentów, analizowanie alertów systemowych w dużej skali, aby identyfikować potencjalne zagrożenia. 

Tego typu systemy są od lat wdrażane w centrach operacyjnych bezpieczeństwa (SOC -Security Operations Centers), gdzie wspierają cyber analityków w codziennej pracy. Bardzo często bazują one na technologiach znanych z obszaru tzw. fraud detection, czyli wykrywania oszustw. Służą one m.in. do identyfikowania prób phishingu, scamów czy innych form cyberprzestępczości. To wszystko dzieje się z użyciem klasycznych algorytmów uczenia maszynowego.

W ostatnim czasie obserwujemy dynamiczne wejście do tej przestrzeni generatywnej sztucznej inteligencji z obiecującymi efektami. Oczywiście naturalnym obszarem zastosowań jest wykorzystanie dużych modeli językowych do tworzenia i analizowania oprogramowania. Jednym z ciekawszych i nie oczywistych przykładów jest zastosowanie dużych modeli językowych do analizy logów systemowych. Czytanie logów, czyli ogromnych plików tekstowych generowanych przez systemy operacyjne, aplikacje i urządzenia sieciowe, to zadanie praktycznie awykonalne ręcznie. 

Istnieją już udokumentowane próby zastosowania takich modeli do wyszukiwania niepokojących sygnałów w logach, np. identyfikowania działań, które poprzedzały atak hakerski. Dzięki temu można lepiej zrozumieć, jakie sygnały ostrzegawcze pojawiały się wcześniej i jak można było im zapobiec. To otwiera drogę do bardzo ciekawej profilaktyki - system AI analizuje historię zdarzeń, wyciąga wnioski i pozwala lepiej przygotować się na przyszłe zagrożenia. 

Zagrożenia AI dla bezpieczeństwa państwa

Skoro mówiliśmy już o zagrożeniach, jakie AI może stwarzać na poziomie organizacji i firm, to przyjrzyjmy się teraz szerszej perspektywie. Jakie ryzyka wiążą się z wykorzystaniem generatywnej sztucznej inteligencji w wymiarze państwowym? W jaki sposób AI może zostać użyta w działaniach dezinformacyjnych czy operacjach wpływu, np. poprzez deepfake’i czy fałszywe narracje w mediach społecznościowych, i co to oznacza dla demokracji oraz bezpieczeństwa narodowego?

To inny kaliber zagrożeń, ponieważ chodzi o użycie sztucznej inteligencji w operacjach wpływu, często prowadzonych przez państwowe służby specjalne na wrogim terytorium. W tym kontekście AI może być wykorzystywana do tworzenia deepfake, czyli sztucznie generowanych zdjęć, nagrań wideo lub nawet całych transmisji, które wyglądają niezwykle realistycznie. 

Problem polega na tym, że obecnie nie dysponujemy skutecznymi narzędziami, które pozwalałyby jednoznacznie i automatycznie rozpoznać, że mamy do czynienia z treścią wygenerowaną sztucznie. Co gorsza, nie jesteśmy w stanie odróżnić nawet tekstu wygenerowanego przez model językowy od tego, który napisał człowiek. Czyli mówimy nie tylko o obrazie i wideo, ale też o artykułach, wpisach na mediach społecznościowych, komentarzach - całej tej cyfrowej narracji, która może być sfabrykowana, a mimo to brzmieć i wyglądać całkowicie autentycznie.

To ogromne wyzwanie dla bezpieczeństwa narodowego i społeczności naukowej. Na szczęście są zespoły w Polsce, które intensywnie nad tym pracują. Identyfikacja treści generowanych przez AI musi stać się jednym z priorytetów, jeśli chcemy chronić procesy demokratyczne, wybory, reputację osób publicznych czy stabilność instytucji państwowych.

Bo jeśli nie opracujemy skutecznych narzędzi rozpoznawania takich manipulacji, to każda osoba publiczna może zostać pokazana w dowolnej sytuacji, w dowolnym kontekście, niezależnie od tego, czy coś takiego miało miejsce, czy nie. Skala potencjalnych szkód jest trudna do przewidzenia.

Czy można sobie wyobrazić, jakie konsekwencje mógłby wywołać deepfake opublikowany w kluczowym momencie kryzysu politycznego lub militarnego? 

Takie sytuacje są jak najbardziej realne i mamy już konkretne przykłady, które pokazują, jak poważne mogą być ich skutki.

Warto przypomnieć jeden z najgłośniejszych incydentów: przełom lutego i marca 2022 roku, czyli pierwsze dni pełno-skalowej inwazji Rosji na Ukrainę. Wówczas Rosjanie opublikowali deepfake z udziałem prezydenta Zełenskiego, w którym rzekomo nawoływał on ukraińskich żołnierzy do poddania się. To był moment skrajnego napięcia - nie było wiadomo, czy Kijów jeszcze się broni, czy już został zajęty. Sam Zełenski przebywał w stolicy, a sytuacja zmieniała się z godziny na godzinę. 

Właśnie wtedy w przestrzeni medialnej pojawił się spreparowany materiał wideo, który mógł wywołać panikę i informacyjne zamieszanie. Na szczęście został szybko zdemaskowany i nie przyniósł realnych skutków, ale stanowi doskonały przykład tego, jak groźnym narzędziem może być AI w kontekście wojny informacyjnej.

Zależność technologiczna

Na zakończenie chciałbym zapytać o kwestię zależności technologicznej. Największe modele językowe rozwijane są dziś przez globalne giganty, takie jak OpenAI czy Google. Państwa takie jak Polska w dużym stopniu polegają na tych rozwiązaniach, zarówno technologicznie, jak i infrastrukturalnie. Czy w tym kontekście można mówić o pewnej formie cyfrowej zależności, a może wręcz cyfrowej kolonizacji?

To są podmioty, które działają w oparciu o własne interesy i wartości, najczęściej zakorzenione w kulturowym kontekście Stanów Zjednoczonych. Państwa, które nie dysponują własnymi modelami na podobną skalę, pozostają jedynie odbiorcami gotowych technologii, pozbawionymi realnego wpływu na to, jak zostały zaprojektowane: jakie zasady moderacji wdrożono, jakie treści są filtrowane, a jakie wspierane.

Korzystamy więc z systemów, które komunikują to, co ich twórcy uznali za stosowne. A to oznacza, że bezkrytyczne wdrażanie takich modeli może prowadzić do kształtowania obrazu świata zupełnie oderwanego od lokalnego kontekstu kulturowego, politycznego czy społecznego.

Dlatego nie wyobrażam sobie, aby tego rodzaju rozwiązania były stosowane w polskim systemie edukacji, administracji publicznej, a tym bardziej w sektorze bezpieczeństwa narodowego. Korzystanie z nich bez pełnego zrozumienia, jak zostały zbudowane i jakie idee reprezentują, to prosta droga do pełnej utraty cyfrowej suwerenności, której konsekwencje mogą być strategicznie zgubne dla naszej polskiej podmiotowości i finalnie niepodległości.

Czy realna jest budowa własnych modeli językowych, rozwijanych przez państwo lub społeczność? Jakie możliwości mamy w Polsce w tym zakresie?

W Polsce już trwają prace nad obiecującymi rozwiązaniami. Jednym z nich jest Bielik - model językowy opracowany przez społeczność Spichlerz. To oddolna inicjatywa grupy pasjonatów i ekspertów, którzy stworzyli system działający w języku polskim, zbudowany na otwartych danych i w duchu pełnej przejrzystości.

Drugim przykładem jest projekt PLLuM wspierany przez Ministerstwo Cyfryzacji, tworzony z myślą o zastosowaniu w administracji publicznej. Ma on służyć urzędom, szkołom, placówkom medycznym - wszędzie tam, gdzie kluczowe znaczenie ma kontrola nad danymi, wiarygodność i bezpieczeństwo informacji.

To kierunek, który daje realną szansę na uniezależnienie się od zewnętrznych rozwiązań i większą kontrolę nad tym, jak działa sztuczna inteligencja w newralgicznych sektorach. Modele rozwijane lokalnie, na znanych i dostosowanych do naszych potrzeb danych, pozwalają lepiej dopasować technologię do języka, kontekstu i wartości, które chcemy chronić.

W praktyce polskie modele już teraz radzą sobie lepiej z językiem polskim niż wiele anglojęzycznych odpowiedników. A co najważniejsze, pozostają pod naszą kontrolą. To kluczowy warunek, jeśli myślimy o odpowiedzialnym wdrażaniu AI w obszarach takich jak na przykład edukacja, ochrona zdrowia, czy bezpieczeństwo.

Druga część wywiadu pojawi się już w najbliższy poniedziałek na naszych łamach.