Një nga gjërat më të rëndësishme që duhet të kuptoni për sigurinë kibernetike është se ajo është një lojë mendore. Siç thekson Ami Luttwak, krye-teknolog në kompaninë Wiz, sapo shfaqen teknologji të reja, sulmuesit gjejnë mundësi të reja për të shfrytëzuar dobësitë që shfaqen. Aktualisht, ndërmarrjet po nxitojnë të integrojnë inteligjencën artificiale (AI) në proceset dhe mjetet e tyre të punës, duke zgjeruar sipërfaqen e sulmit. Edhe pse AI ndihmon zhvilluesit të krijojnë kod më shpejt, ky shpejtësim vjen shpesh së bashku me shkurtore dhe gabime që mund të çojnë te cenueshmëri të reja.

Dobësitë e reja dhe sulmet në zinxhirin e furnizimit

Wiz, e cila u ble nga Google për 32 miliardë dollarë, zbuloi se një nga problemet më të zakonshme në aplikacionet me vibe coding ishte implementimi jo i sigurt i autentikimit. Kjo ndodh sepse mjetet e bazuara në AI zbatojnë vetëm atë që u kërkohet, pa siguri të shtuara nëse nuk porositen posaçërisht. Për më tepër, jo vetëm zhvilluesit po përdorin AI për të rritur efiçencën, por tani edhe sulmuesit po përdorin vibe coding dhe teknika të bazuara në prompt-e për të ndërmarrë sulme të sofistikuara.

Një shembull konkret është ndërhyrja në Drift, një startup që ofron chatbot-e të fuqizuara nga AI. Ky sulm ekspozoi të dhënat e qindra klientëve të ndërmarrjeve si Cloudflare dhe Google. Sulmuesit arritën të marrin akses si “token” digjitalë dhe imituan chatbot-in për të hyrë në të dhënat e Salesforce, duke lejuar lëvizje anësore brenda sistemeve të klientëve. Edhe në këtë rast, sulmi u orkestrua duke përdorur vibe coding.

Rritja e kërcënimeve dhe nevoja për siguri të integruar

Edhe pse vetëm rreth 1% e ndërmarrjeve kanë përvetësuar plotësisht AI, sipas Wiz, çdo javë ndodhin sulme që ndikojnë mijëra klientë korporatë, ku AI është pjesë e çdo faze të sulmit. Shembulli i “s1ingularity”, një sulm në sistemin popullor Nx për zhvilluesit JavaScript, tregoi sesi malware mund të detektojë prezencën e mjeteve të AI si Claude dhe Gemini për të kërkuar të dhëna konfidenciale dhe për të komprometuar çelësa dhe akses privat.

Për t’u mbrojtur ndaj këtyre kërcënimeve, Wiz ka zgjeruar shpejt portofolin e produkteve të saj me zgjidhje si Wiz Code, për të siguruar ciklin e zhvillimit të softuerit që në hapat e parë, dhe Wiz Defend, që siguron mbrojtje në kohë reale kundër kërcënimeve aktive në mjediset cloud. Luttwak thekson se është thelbësore të “kuptohet plotësisht aplikacioni i klientëve” në mënyrë që të realizohet siguri horizontale dhe e personalizuar.

Duke parë rritjen e shpejtë të startup-eve të AI, Luttwak paralajmëron se kompanitë nuk duhet t’u besojnë të gjithë të dhënat çdo mjeti SaaS të vogël pa verifikuar çështjet e sigurisë. Çdo startup duhet të mendojë për sigurinë dhe pajtueshmërinë që në ditën e parë, duke përfshirë një CISO (Chief Information Security Officer) edhe nëse ka vetëm pesë punonjës. Ai thekson që përfitimi më i madh arrihet kur masat e sigurisë, si auditimi, autentikimi, log-et, dhe arkitektura që mbron të dhënat e klientëve, ndërtohen që në fillim. Për më tepër, sigurimi i pajtueshmërisë si SOC2 me pak staf është shumë më i lehtë sesa me ekipe të mëdha.

Për startup-et në fushën e sigurisë kibernetike në epokën e AI, momenti për të vepruar është tani. Inovacioni në fusha, si mbrojtja nga phishing, siguria e postës elektronike, mbrojtja nga malware apo automatizimi i sigurisë, sjell mundësi të shumta. Si përfundim, transformimi digjital dhe AI kërkojnë mendim të ri në çdo aspekt të sigurisë për të mbrojtur të dhënat dhe infrastrukturën e çdo organizate.

Tags: inteligjenca artificiale, siguria kibernetike, vibe coding, sulmet në zinxhirin e furnizimit, mbrojtja e të dhënave, startup-e AI