RSS_Virtulization

The open-source LLM known as DeepSeek has attracted much attention in recent weeks with the release of DeepSeek V3 and DeepSeek R1, and in this blog, The Tenable Security Response Team answers some of the frequently asked questions (FAQ) about it. Background The Tenable Security Response Team (SRT) has compiled this blog to answer Frequently Asked Questions (FAQ) regarding DeepSeek. FAQ What is DeepSeek? DeepSeek typically refers to the large language model (LLM) produced by…

AI 스타트업인 로스 인텔리전스와 톰슨 로이터 간의 AI 훈련 소송에서 톰슨 로이터가 승소했다. 이번 소식을 보도한 더 버지에 따르면 톰슨 로이터는 2020년에 로스 인텔리전스가 로이터의 법률 연구 플랫폼인 웨스트로(Westlaw)를 무단으로 사용해 로스 인텔리전스의 AI를 훈련시켰다고 주장하며 소송을 제기했다. 웨스트로는 저작 권이 없는 자료를 대거 색인하지만, 그러한 자료를 자체 콘텐츠를 혼합한다. 로스 인텔리전스는 자사의 훈련이 ‘공정 사용’(fair use) 관행에 해당한다고 주장했지만, 사법부는 이에 동의하지 않았다. 대신, 법원은 로스 인텔리전스가 저작권이 있는 자료를 사용함으로써 원래의 가치에 영향을…

지역별 문화적 차이와 맞춤형 접근 필요 버지는 동기 부여 방식과 리더십 스타일이 지역별로 다를 수 있다는 점도 강조했다. 예를 들어, 호주의 경우 사이버보안 전문가 중 상당수가 STEM(과학, 기술, 공학, 수학) 분야 외의 배경을 가지고 있어 리더십 스타일이 더 다양하다는 특징이 있다. 반면, 인도와 같은 지역은 STEM 전공자 비율이 높아 경력 개발 경로가 다르게 형성되는 경향이 있다. 또한, 각국의 데이터 보호 규제 수준에 따라 사이버보안 문제를 인식하고 해결하는 방식도 다르다. 데이터 보호 규제가 오래전부터 확립된 국가에서는…

I CIO, al giorno d’oggi, sono molto stressati dalle preoccupazioni di vecchia data sulla rapidità del cambiamento e sulla rivoluzione quantistica all’orizzonte. Naturalmente, ci sono anche molti altri problemi che preoccupano i CIO qui e ora. Abbiamo quindi chiesto a diversi leader IT: che cosa vi tiene svegli la notte? Ecco che cosa ci hanno risposto. 1. La sicurezza informatica La sicurezza informatica è di gran lunga il principale oggetto degli incubi dei CIO. Questo…

Saudi Arabia’s Vision 2030 emphasizes a technology-driven transformation to achieve its social, economic, and environmental goals, focusing on adopting and producing advanced innovations to position itself as a global leader in technological disruption. By positioning itself at the forefront of technological disruption, the country aims to be a global leader in shaping the future of technology. These efforts have already started paying off, as evidenced by its performance in global benchmarks. The kingdom’s exemplary focus…

IBM의 다국어 자연어 처리 수석 연구 과학자인 한스 플로리안은 다양한 언어의 데이터 양을 추정하는 방법에 대해 “해당 언어의 위키피디아 페이지 수를 살펴보면 된다. 이는 해당 언어에서 사용 가능한 데이터의 양과 상당히 연관된다”라고 설명했다. 이 문제를 더욱 복잡하게 만드는 것은 단순히 언어나 해당 언어의 데이터양 문제뿐만 아니라 지역적인 맥락도 얽혀 있다는 점이다. 예를 들어, 특정 언어가 주로 사용되는 지역의 고유한 문화, 비즈니스 관행, 사회적 특성과 관련된 데이터 부족이 더 큰 문제일 수 있다. 모델 품질에 대해…

둘째, AI 에이전트( AI agent)가 단순한 챗봇에서 다중 에이전트 시스템으로 진화할 것이다. 단순하게 대화를 주고받던 챗봇 수준의 AI가 다양하고 복잡한 처리가 가능한 AI 에이전트로 진화하면서, 공무원이 더 심층적인 데이터 인사이트를 얻고, 보안 위협을 사전에 식별 및 해결하고, 아이디어 구현과 업무 효율을 향상하는 데 큰 도움을 줄 것이다. 셋째, 보조 검색(Assistive Search)은 생성형 AI를 활용해 정보에 접근하고 검색하는 방식을 변화할 것이다. 이를 통해 방대한 데이터 세트에 대한 검색 정확성과 효율성을 개선하고, 시멘틱 검색, 자동화된 메타데이터 도구,…

Cybersecurity consistently ranks as the top concern among CIOs worldwide, but despite the high priority they place on ensuring their environments are safe from cybercriminals and hackers, only about one-third (35%) of IT organizations have implemented a comprehensive cyber recovery plan, according to PwC’s 2025 Global Digital Trust Insights report. This gap between awareness and preparedness leaves organizations vulnerable, especially as cyber threats grow increasingly sophisticated. To bridge this critical gap, IT leaders should focus…

従業員からのAIデータ漏えいは、企業の悪夢となっている。 HarmonicのAIデータ漏えいに関する最新レポートによると、人気のLLMに対する従業員のプロンプトの8.5%に機密データが含まれており、セキュリティ、コンプライアンス、プライバシー、法的な懸念がある。 2024年第4四半期にChatGPT、Copilot、Gemini、Claude、Perplexityに対する数万件のプロンプトを分析したHarmonicは、請求情報や認証データを含む顧客データが流出データの最大シェア46％を占めることを明らかにした。この中でHarmonicは、処理時間を短縮するために従業員がAIツールに頻繁に入力する顧客データが多く含まれる報告書の一種として、保険金請求を取り上げた。 給与データや個人を特定できる情報（PII）を含む従業員データは、機密性の高いプロンプトの27％を占め、次いで法務・財務データが15％だった。 「センシティブなプロンプトの6.88%を占めるセキュリティ関連情報は、特に懸念すべきものです。「例えば、侵入テストの結果、ネットワーク設定、インシデントレポートなどである。このようなデータは、脆弱性を悪用するための青写真を攻撃者に提供する可能性がある。 影からの脱出 ジェネレーティブAIのデータ漏えいは困難な問題であり、企業のジェネレーティブAI戦略がCISOをストレスフルな状況に追い込んでいる主な理由でもある。 企業におけるLLMの使用は、ライセンス供与や自社開発による実装を含む公認のデプロイメント、シャドーAI（通常、正当な理由によって企業によって禁止されている無料のコンシューマーグレードのアプリで構成）、セミシャドージェネレーティブAIの3つに大別される。 無許可のシャドーAIはCISOにとって主要な問題であるが、この最後のカテゴリーは、最もコントロールが難しいかもしれない成長中の問題である。事業部門の責任者によって開始されたセミシャドーAIには、IT部門の承認を得ていない有償のAIアプリが含まれる可能性があり、実験、便宜、生産性向上のために導入されている。このような場合、経営幹部はシャドーITに従事しているが、事業部門の従業員はAI戦略の一環として経営陣からツールを利用するよう指示されている。 シャドーまたはセミシャドーの無料生成AIアプリは、ライセンス条項が通常、すべてのクエリでトレーニングを許可しているため、最も問題がある。Harmonicの調査によると、機密データ漏えいの大部分を占めるのは、無料層のAI利用である。例えば、機密プロンプトの54%はChatGPTの無料層で入力されている。 しかし、ほとんどのデータスペシャリストは、有料のAIアプリの契約上の約束を信用することをCISOに勧めない。 Carstens, Allen & Gourley知的財産法律事務所の弁護士ロバート・テイラーは、企業秘密の例を挙げる。従業員が生成AIシステムに企業秘密を暴露するような質問をすると、様々な法的保護、特に企業秘密保護が失われる可能性がある、と彼は言う。知的財産を保護する弁護士は、禁止されているデータが発見されるかどうかを確認するために、チームメンバーに企業秘密について幅広いAIアプリに質問させることがよくあると付け加える。もしそうなら、誰かが漏らしたことになる。 競合他社がリークを知れば、リークによって営業秘密の法的保護が無効になると法廷で主張することができる。テイラーによれば、知的財産権所有者の弁護士は、企業が秘密を保護するために様々な仕組みを導入したことを証明しなければならない。生成的なAIクエリに関するトレーニングを行わないことを約束した契約条項に頼ることは、「十分なレベルの合理的努力とは言えない」とテイラーは言う。 「それは総合的な状況でしょう」と彼は言う。企業は、”データの使用に関して従業員を拘束するポリシー “を導入し、厳格に実施しなければならない。 データに配慮した実践 CISOはビジネスリーダーと協力し、保護されたデータを使用せずにLLMから同じ結果を得る方法を従業員に教育する必要がある、とForrester社の副社長兼主席アナリストであるジェフ・ポラードは言う。そうすることで、プロンプトをより繊細に扱う必要があるが、AIが生成した回答の有効性を薄めることなく、機密情報を保護することができる。 「しかし、クエリの言い回しを理解するようにユーザーを訓練する必要がある」とポラードは言う。 ロックダウンされた企業負担のアプリではなく、無料のAIツールを従業員が使用する場合、「従業員を取り締まることは最も明白なことですが、核心的な疑問は『なぜ従業員はそれをやっているのか』ということです」と、ガートナーの著名な副社長兼アナリストのアルン・チャンドラセカラン氏は指摘する。 「IT部門が従業員に必要なツールを提供していないために、従業員はそれを行っているのです」と彼は主張する。 CISOは、全社的なAIツールは「本当に使える」ものであるべきだということを徹底させるために、C-suiteの担当者にこのことを指摘すべきだと彼は言う。 残念なことに、ソフトウェア・ベンダーUnilyのシニア・コミュニティ＆パートナー・マーケティング・マネージャーであるカズ・ハッサン氏によれば、ジェネレーティブAIでは、すでに精霊は瓶の外に出ているという。 「従業員によるAIの利用は、ITチームが追いつく能力を凌駕しています。「ITチームは、状況が良くないことは分かっていても、影響を与えるためのコミュニケーション、文化、戦略の部分にまで手が回らないのです」 新たな青写真が必要であり、組織はリスクを減らすために今すぐ明確なAI戦略が必要であり、従業員の技術スタックにAIを織り込んですぐにフォローアップする必要がある” とハッサンは付け加えた。 典型的な監視・制御アプリは、データ漏洩のポイントを外していると彼は主張する。 「パワー・ユーザーが無許可のAIツールで機密データを処理しているのは、制御できないからではなく、スピードが落ちないからだ。制限して保護するという古いやり方は、単に失敗しているだけでなく、AIのイノベーションを積極的に陰に追いやろうとしているのです」とハッサンは言う。「CISOはこの現実を直視する必要がある。AIの変革をリードするか、セキュリティ境界が溶解していくのを見るかだ」 ハッサン氏は、ジェネレーティブAIによるデータ問題は2つの方向に向かうと指摘する。クエリによって機密データが流出することと、幻覚によって、あるいは誤った情報に基づいて訓練された欠陥のあるデータが、ジェネレーティブAIの回答を通じて企業に入ってくることだ。 「今日のCISOは、機密データの流出だけを心配するべきではありません。悪いデータが入ってくることも心配すべきです」とハッサンは言う。 Source link