人工智能為應(yīng)用程序體驗帶來了新的模式，為開發(fā)人員在身份驗證和授權(quán)方面帶來了新的益處和挑戰(zhàn)。

譯自How AI Changes App Authentication and Authorization，作者 Shiv Ramji。

人工智能無處不在。您無法在沒有遇到應(yīng)用程序或增強型在線服務(wù)的情況下進(jìn)行任何操作。根據(jù) IBM 的數(shù)據(jù)，76% 的公司正在使用或探索人工智能在其業(yè)務(wù)中的應(yīng)用，而 Okta 委托 SD Times 進(jìn)行的研究發(fā)現(xiàn)，97% 的產(chǎn)品工程團(tuán)隊預(yù)計到 2024 年底將在開發(fā)中使用人工智能工具。

人工智能帶來了前所未有的生產(chǎn)力提升。然而，它也導(dǎo)致了新的網(wǎng)絡(luò)攻擊，損害了企業(yè)和人們的數(shù)據(jù)。隨著人工智能越來越深入地融入我們的日常生活，我預(yù)測人工智能的未來將是一個智能代理代表我們運作的數(shù)字世界。它們?yōu)槲覀冾A(yù)訂酒店或航班，購買音樂會門票或出售股票市場股票。由于這些情況需要使用個人數(shù)據(jù)和信息；人們必須信任人工智能的身份。

標(biāo)準(zhǔn)身份挑戰(zhàn)現(xiàn)在將具有新的維度。開發(fā)人員需要在為用戶提供不同級別的訪問和控制以及代表他們運行的人工智能代理之間進(jìn)行導(dǎo)航。這種應(yīng)用程序安全的額外復(fù)雜性對于內(nèi)部構(gòu)建身份解決方案的開發(fā)人員來說尤其困難。

人工智能給傳統(tǒng)應(yīng)用程序帶來了新的威脅

人工智能現(xiàn)在有能力增強傳統(tǒng)的應(yīng)用程序安全威脅。例如，聊天機(jī)器人和令人信服的語音深度偽造正在被用于社會工程攻擊；攻擊者正在使用人工智能來快速檢測和利用應(yīng)用程序中的漏洞。

借助人工智能，不法分子可以更輕松地擴(kuò)展其運營，而諸如網(wǎng)絡(luò)釣魚之類的活動不再是手動、昂貴的任務(wù)。研究人員甚至發(fā)現(xiàn)，深度學(xué)習(xí)語言模型可以幫助編寫更有效的網(wǎng)絡(luò)釣魚電子郵件，比人類更有效。

隨著這些基于身份的攻擊變得越來越危險，開發(fā)人員必須確保其應(yīng)用程序授權(quán)和身份驗證是安全的，并且只有合法用戶才能成功訪問其帳戶。

開發(fā)人員是新的機(jī)器人戰(zhàn)斗者

面對這些不斷變化的應(yīng)用程序安全威脅，開發(fā)人員必須與試圖破壞客戶身份的不法分子和機(jī)器人作斗爭。由于機(jī)器人占所有互聯(lián)網(wǎng)流量的近50%，開發(fā)人員需要在使惡意行為者更難濫用注冊和登錄以及提供能夠提高最終用戶采用的數(shù)字體驗之間取得平衡。

機(jī)器人已經(jīng)變得非常擅長解決簡單的基于圖像的 CAPTCHA——通常比人類更快、更準(zhǔn)確地解決它們。在這種情況下，人工智能驅(qū)動的工具可以幫助開發(fā)人員充當(dāng)有效的防御機(jī)制，分析攻擊模式并檢測機(jī)器人活動，幾乎不會給客戶帶來任何摩擦。這些工具可以分析與應(yīng)用程序訪問活動相關(guān)的各種信號，并將它們與歷史數(shù)據(jù)進(jìn)行比較，以查找常見模式。如果檢測到可疑活動，將要求額外的身份驗證因素來驗證用戶的身份。

人工智能驅(qū)動的應(yīng)用程序的新漏洞

作為軟件開發(fā)的新領(lǐng)域，人工智能應(yīng)用程序面臨著與傳統(tǒng)應(yīng)用程序類似的安全問題，例如未經(jīng)授權(quán)訪問信息，但惡意行為者使用的是新技術(shù)。

對于人工智能驅(qū)動的應(yīng)用程序，應(yīng)用程序架構(gòu)的經(jīng)典構(gòu)建塊，例如前端、后端和數(shù)據(jù)庫，被新的元素所取代，例如大型語言模型 (LLM)和向量數(shù)據(jù)庫。這給傳統(tǒng)的應(yīng)用程序安全帶來了新的挑戰(zhàn)——提示注入、數(shù)據(jù)中毒和數(shù)據(jù)泄露等等。開放式全球應(yīng)用程序安全項目 (OWASP) 已經(jīng)編制了一份基于 LLM 的應(yīng)用程序的十大漏洞列表。其中許多與身份相關(guān)，例如敏感信息泄露（當(dāng)應(yīng)用程序由于缺乏適當(dāng)?shù)氖跈?quán)或過濾過程而泄露敏感信息時）和過度代理（當(dāng) AI 代理被委托根據(jù)輸入提示或 LLM 的輸出執(zhí)行操作時，而沒有采取適當(dāng)?shù)念A(yù)防措施）。

對于應(yīng)用程序開發(fā)來說，這是一個全新的領(lǐng)域。它為傳統(tǒng)的身份挑戰(zhàn)帶來了新的維度，例如確保只有授權(quán)用戶才能訪問特定資源，以及能夠驗證 AI 代理的身份以執(zhí)行敏感操作，這需要仔細(xì)的授權(quán)過程。

有用的創(chuàng)新正在進(jìn)行中

身份是 AI 時代任何應(yīng)用程序的基礎(chǔ)，但開發(fā)人員很容易將時間花在內(nèi)部構(gòu)建和維護(hù)身份上。幸運的是，針對創(chuàng)新的研究正在進(jìn)行中，以幫助您構(gòu)建安全的 AI 應(yīng)用程序。Auth0Lab團(tuán)隊已經(jīng)開始嘗試通過 AI 和細(xì)粒度身份驗證 (FGA) 以及內(nèi)容真實性等機(jī)會來保護(hù)基于 AI 的應(yīng)用程序。

在 Okta，我們擴(kuò)展了 Auth0 免費計劃并增強了付費層級——免費提供多因素身份驗證 (MFA) 和無密碼等身份工具——并推出了Okta AI，使身份易于實施和擴(kuò)展以滿足任何用例。