人工智能為應(yīng)用程序體驗(yàn)帶來(lái)了新的模式，為開發(fā)人員在身份驗(yàn)證和授權(quán)方面帶來(lái)了新的益處和挑戰(zhàn)。

譯自How AI Changes App Authentication and Authorization，作者 Shiv Ramji。

人工智能無(wú)處不在。您無(wú)法在沒有遇到應(yīng)用程序或增強(qiáng)型在線服務(wù)的情況下進(jìn)行任何操作。根據(jù) IBM 的數(shù)據(jù)，76% 的公司正在使用或探索人工智能在其業(yè)務(wù)中的應(yīng)用，而 Okta 委托 SD Times 進(jìn)行的研究發(fā)現(xiàn)，97% 的產(chǎn)品工程團(tuán)隊(duì)預(yù)計(jì)到 2024 年底將在開發(fā)中使用人工智能工具。

人工智能帶來(lái)了前所未有的生產(chǎn)力提升。然而，它也導(dǎo)致了新的網(wǎng)絡(luò)攻擊，損害了企業(yè)和人們的數(shù)據(jù)。隨著人工智能越來(lái)越深入地融入我們的日常生活，我預(yù)測(cè)人工智能的未來(lái)將是一個(gè)智能代理代表我們運(yùn)作的數(shù)字世界。它們?yōu)槲覀冾A(yù)訂酒店或航班，購(gòu)買音樂會(huì)門票或出售股票市場(chǎng)股票。由于這些情況需要使用個(gè)人數(shù)據(jù)和信息；人們必須信任人工智能的身份。

標(biāo)準(zhǔn)身份挑戰(zhàn)現(xiàn)在將具有新的維度。開發(fā)人員需要在為用戶提供不同級(jí)別的訪問和控制以及代表他們運(yùn)行的人工智能代理之間進(jìn)行導(dǎo)航。這種應(yīng)用程序安全的額外復(fù)雜性對(duì)于內(nèi)部構(gòu)建身份解決方案的開發(fā)人員來(lái)說尤其困難。

人工智能給傳統(tǒng)應(yīng)用程序帶來(lái)了新的威脅

人工智能現(xiàn)在有能力增強(qiáng)傳統(tǒng)的應(yīng)用程序安全威脅。例如，聊天機(jī)器人和令人信服的語(yǔ)音深度偽造正在被用于社會(huì)工程攻擊；攻擊者正在使用人工智能來(lái)快速檢測(cè)和利用應(yīng)用程序中的漏洞。

借助人工智能，不法分子可以更輕松地?cái)U(kuò)展其運(yùn)營(yíng)，而諸如網(wǎng)絡(luò)釣魚之類的活動(dòng)不再是手動(dòng)、昂貴的任務(wù)。研究人員甚至發(fā)現(xiàn)，深度學(xué)習(xí)語(yǔ)言模型可以幫助編寫更有效的網(wǎng)絡(luò)釣魚電子郵件，比人類更有效。

隨著這些基于身份的攻擊變得越來(lái)越危險(xiǎn)，開發(fā)人員必須確保其應(yīng)用程序授權(quán)和身份驗(yàn)證是安全的，并且只有合法用戶才能成功訪問其帳戶。

開發(fā)人員是新的機(jī)器人戰(zhàn)斗者

面對(duì)這些不斷變化的應(yīng)用程序安全威脅，開發(fā)人員必須與試圖破壞客戶身份的不法分子和機(jī)器人作斗爭(zhēng)。由于機(jī)器人占所有互聯(lián)網(wǎng)流量的近50%，開發(fā)人員需要在使惡意行為者更難濫用注冊(cè)和登錄以及提供能夠提高最終用戶采用的數(shù)字體驗(yàn)之間取得平衡。

機(jī)器人已經(jīng)變得非常擅長(zhǎng)解決簡(jiǎn)單的基于圖像的 CAPTCHA——通常比人類更快、更準(zhǔn)確地解決它們。在這種情況下，人工智能驅(qū)動(dòng)的工具可以幫助開發(fā)人員充當(dāng)有效的防御機(jī)制，分析攻擊模式并檢測(cè)機(jī)器人活動(dòng)，幾乎不會(huì)給客戶帶來(lái)任何摩擦。這些工具可以分析與應(yīng)用程序訪問活動(dòng)相關(guān)的各種信號(hào)，并將它們與歷史數(shù)據(jù)進(jìn)行比較，以查找常見模式。如果檢測(cè)到可疑活動(dòng)，將要求額外的身份驗(yàn)證因素來(lái)驗(yàn)證用戶的身份。

人工智能驅(qū)動(dòng)的應(yīng)用程序的新漏洞

作為軟件開發(fā)的新領(lǐng)域，人工智能應(yīng)用程序面臨著與傳統(tǒng)應(yīng)用程序類似的安全問題，例如未經(jīng)授權(quán)訪問信息，但惡意行為者使用的是新技術(shù)。

對(duì)于人工智能驅(qū)動(dòng)的應(yīng)用程序，應(yīng)用程序架構(gòu)的經(jīng)典構(gòu)建塊，例如前端、后端和數(shù)據(jù)庫(kù)，被新的元素所取代，例如大型語(yǔ)言模型 (LLM)和向量數(shù)據(jù)庫(kù)。這給傳統(tǒng)的應(yīng)用程序安全帶來(lái)了新的挑戰(zhàn)——提示注入、數(shù)據(jù)中毒和數(shù)據(jù)泄露等等。開放式全球應(yīng)用程序安全項(xiàng)目 (OWASP) 已經(jīng)編制了一份基于 LLM 的應(yīng)用程序的十大漏洞列表。其中許多與身份相關(guān)，例如敏感信息泄露（當(dāng)應(yīng)用程序由于缺乏適當(dāng)?shù)氖跈?quán)或過濾過程而泄露敏感信息時(shí)）和過度代理（當(dāng) AI 代理被委托根據(jù)輸入提示或 LLM 的輸出執(zhí)行操作時(shí)，而沒有采取適當(dāng)?shù)念A(yù)防措施）。

對(duì)于應(yīng)用程序開發(fā)來(lái)說，這是一個(gè)全新的領(lǐng)域。它為傳統(tǒng)的身份挑戰(zhàn)帶來(lái)了新的維度，例如確保只有授權(quán)用戶才能訪問特定資源，以及能夠驗(yàn)證 AI 代理的身份以執(zhí)行敏感操作，這需要仔細(xì)的授權(quán)過程。

有用的創(chuàng)新正在進(jìn)行中

身份是 AI 時(shí)代任何應(yīng)用程序的基礎(chǔ)，但開發(fā)人員很容易將時(shí)間花在內(nèi)部構(gòu)建和維護(hù)身份上。幸運(yùn)的是，針對(duì)創(chuàng)新的研究正在進(jìn)行中，以幫助您構(gòu)建安全的 AI 應(yīng)用程序。Auth0Lab團(tuán)隊(duì)已經(jīng)開始嘗試通過 AI 和細(xì)粒度身份驗(yàn)證 (FGA) 以及內(nèi)容真實(shí)性等機(jī)會(huì)來(lái)保護(hù)基于 AI 的應(yīng)用程序。

在 Okta，我們擴(kuò)展了 Auth0 免費(fèi)計(jì)劃并增強(qiáng)了付費(fèi)層級(jí)——免費(fèi)提供多因素身份驗(yàn)證 (MFA) 和無(wú)密碼等身份工具——并推出了Okta AI，使身份易于實(shí)施和擴(kuò)展以滿足任何用例。