Перейти к содержимому
Digital Businessby · Беларусь
IT и стартапы

AI-безопасность в реальном времени: даже Google не успевает за угрозами

Руководитель Google Cloud призывает компании встраивать защиту в AI-стратегию с нуля — пока сам провайдер закрывает критические уязвимости с опозданием.

Казакевич Алексей
6 мин
AI-безопасность в реальном времени: даже Google не успевает за угрозами
Содержание
  1. Платформенный подход вместо «заплаток»
  2. Агенты находят то, о чём все забыли
  3. Счета на $10 000 за полчаса и 23-минутное окно атаки
  4. Что это значит для белорусского рынка

Фрэнсис де Соуза, операционный директор Google Cloud, выступил на одном из недавних мероприятий в Лос-Анджелесе с тезисом, который давно пытаются донести до топ-менеджмента специалисты по безопасности: AI-стратегия без встроенной защиты — это не стратегия. Проблема в том, что сам Google в этот момент разбирался с волной инцидентов, которые наглядно иллюстрировали именно этот разрыв между декларациями и реальностью.

Платформенный подход вместо «заплаток»

Де Соуза сформулировал позицию чётко: компании, которые начинают AI-трансформацию, обязаны с первого дня требовать от платформ безопасности, управляемости и возможности аудита. «Безопасность нельзя прикрутить потом, и нельзя оставить это на усмотрение сотрудников», — сказал он.

Отдельно он предупредил о феномене «теневого AI» — ситуации, когда сотрудники самостоятельно используют потребительские инструменты без корпоративного контроля. Для белорусских компаний, особенно резидентов ПВТ, работающих с зарубежными клиентами, это не абстрактный риск: утечка данных через неавторизованный ChatGPT или Gemini может стоить контракта или нарушить условия NDA.

Де Соуза также настаивал на том, что мультиоблачная реальность — это не выбор, а данность. Даже компании, считающие себя клиентами одного провайдера, фактически работают в гибридной среде через SaaS-сервисы и партнёрские системы. «Важно иметь единую защитную позицию — единую для всех облаков и всех моделей», — подчеркнул он.

Отдельный тезис касается скорости атак. По словам де Соузы, среднее время между первичным взломом и передачей управления следующему этапу атаки сократилось с восьми часов до 22 секунд. Поверхность атаки при этом расширилась далеко за пределы традиционного сетевого периметра: теперь под угрозой сами модели, пайплайны обучения, агенты и промпты.

Агенты находят то, о чём все забыли

Одна из наименее очевидных угроз, которую выделил де Соуза, — AI-агенты, свободно перемещающиеся по корпоративным системам, способны обнаруживать забытые хранилища данных. «У многих организаций есть старые SharePoint-серверы с устаревшими правами доступа. Раньше это не имело значения, потому что никто не знал, где они находятся. Но агенты, которые бродят по вашей инфраструктуре, найдут эти активы и откроют данные на них», — предупредил он.

Ответ на машинную скорость атак, по мнению де Соузы, — машинная скорость защиты. Он описывает появление полностью агентной защиты, где люди не участвуют в каждом решении, а лишь осуществляют надзор за автономными системами безопасности. Это принципиально меняет роль CISO и команды безопасности: из операторов — в архитекторов и контролёров.

При этом квалифицированных специалистов, способных управлять такими системами, катастрофически не хватает. Лиа Кисснер, директор по информационной безопасности LinkedIn, заявила изданию New York Times, что индустрия не выработает устойчивого понимания AI-безопасности ещё как минимум несколько лет. Она назвала происходящее «bug-pocalypse» — лавиной уязвимостей, с которой нынешние команды физически не справляются.

Счета на $10 000 за полчаса и 23-минутное окно атаки

Пока де Соуза излагал правильные принципы, издание The Register публиковало серию материалов о конкретных инцидентах с клиентами Google Cloud. Схема оказалась одинаковой в нескольких случаях: API-ключи, изначально выданные для Google Maps и размещённые публично согласно инструкциям самого Google, без явного уведомления получили доступ к моделям Gemini после того, как Google расширил их область действия.

Род Данан, CEO платформы для подготовки к интервью Prentus, обнаружил счёт на $10 138 примерно через 30 минут после того, как злоумышленники воспользовались его скомпрометированным ключом. Исуру Фонсека, разработчик из Сиднея, проснулся с задолженностью около 17 000 австралийских долларов — несмотря на то что был убеждён в наличии лимита в $250. Как выяснилось, Google автоматически повысил их биллинговые тиры на основании истории аккаунтов, подняв эффективные потолки до $100 000 без явного согласия пользователей.

Google вернул деньги обоим после публикаций The Register. Однако компания сообщила, что не планирует менять политику автоматического повышения тиров, объяснив это приоритетом бесперебойности сервиса над соблюдением заявленных пользователями бюджетных ограничений.

Отдельную проблему выявила исследовательская компания Aikido Security. Согласно их данным, даже разработчик, который немедленно удаляет скомпрометированный ключ, не защищён: отзыв ключа распространяется по инфраструктуре Google постепенно, и в течение 23 минут злоумышленник может продолжать использовать его. В отдельные минуты этого окна успешность запросов превышала 90% — достаточно, чтобы выгрузить файлы и кэшированные данные из Gemini.

Исследователь Aikido Джозеф Леон указал на показательное сравнение: сервисные аккаунты Google отзываются примерно за 5 секунд, новый формат ключей Gemini с префиксом AQ — примерно за минуту. «Оба работают в масштабе Google. Оба показывают, что технически это решаемо», — написал он. По его выводу, 23-минутное окно — не инженерное ограничение, а вопрос приоритетов.

Что это значит для белорусского рынка

Для IT-компаний и стартапов, работающих с Google Cloud — а таких среди резидентов ПВТ немало, — описанные инциденты несут практический урок. Автоматическое повышение биллинговых тиров без явного согласия пользователя — это риск, который нужно учитывать при настройке API-доступа уже сейчас.

Совет де Соузы о платформенном подходе к безопасности звучит убедительно и по существу верен. Но разрыв между тем, что крупные провайдеры рекомендуют клиентам, и тем, насколько быстро они сами закрывают собственные уязвимости, — реален. Осознавать этот разрыв так же важно, как следовать правильным принципам.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.

Курс GOOGL · NASDAQ
ПоделитьсяVK

Свежие новости

Все новости