Graph of Effort: Quantifying Risk of AI Usage for Vulnerability Assessment

要約

AIベースのソフトウェアが広く利用可能になっているため、自動化や複雑なパターン認識など、その機能を活用するリスクが大幅に増加する可能性があります。
攻撃的に使用されるAIは、非AI資産を攻撃するために攻撃的なAIと呼ばれます。
現在の研究では、攻撃的なAIをどのように利用できるか、およびその使用方法をどのように分類できるかを調査しています。
さらに、脅威モデリングの方法は、組織内のAIベースの資産向けに開発されています。
ただし、対処する必要があるギャップがあります。
まず、AIの脅威に寄与する要因を定量化する必要があります。
第二に、組織のすべての資産にわたる脆弱性評価のためにAIによって攻撃されるリスクを分析する脅威モデルを作成するための要件が​​あります。
これは、洗練されたインフラストラクチャとアクセス制御の状況が一般的なクラウド環境では特に重要で困難です。
攻撃的なAIによってもたらされる脅威を定量化してさらに分析する能力により、アナリストは脆弱性をランク付けし、プロアクティブな対策の実装を優先することができます。
これらのギャップに対処するために、このペーパーでは、敵による脆弱性の搾取に攻撃的なAIを使用するために必要な努力を分析するための直感的で柔軟で効果的な脅威モデリング方法である努力のグラフを紹介します。
脅威モデルは機能的であり、貴重なサポートを提供しますが、その設計の選択は将来の作業におけるさらなる経験的検証が必要です。

要約(オリジナル)

With AI-based software becoming widely available, the risk of exploiting its capabilities, such as high automation and complex pattern recognition, could significantly increase. An AI used offensively to attack non-AI assets is referred to as offensive AI. Current research explores how offensive AI can be utilized and how its usage can be classified. Additionally, methods for threat modeling are being developed for AI-based assets within organizations. However, there are gaps that need to be addressed. Firstly, there is a need to quantify the factors contributing to the AI threat. Secondly, there is a requirement to create threat models that analyze the risk of being attacked by AI for vulnerability assessment across all assets of an organization. This is particularly crucial and challenging in cloud environments, where sophisticated infrastructure and access control landscapes are prevalent. The ability to quantify and further analyze the threat posed by offensive AI enables analysts to rank vulnerabilities and prioritize the implementation of proactive countermeasures. To address these gaps, this paper introduces the Graph of Effort, an intuitive, flexible, and effective threat modeling method for analyzing the effort required to use offensive AI for vulnerability exploitation by an adversary. While the threat model is functional and provides valuable support, its design choices need further empirical validation in future work.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google