Depois de um bom ano de exuberância sustentada, a ressaca finalmente chegou. É uma ressaca suave (por enquanto), enquanto o mercado corrige o preço das ações dos principais gamers (como Nvidia, Microsoft e Google), enquanto outros gamers reavaliam o mercado e ajustam prioridades. A Gartner chama isso de vale da desilusão, quando o interesse diminui e as implementações falham em entregar os avanços prometidos. Os produtores da tecnologia se agitam ou fracassam. O investimento continua somente se os provedores sobreviventes melhorarem seus produtos para a satisfação dos primeiros usuários.
Sejamos claros, esse sempre seria o caso: a revolução pós-humana prometida pelos defensores da IA nunca foi uma meta realista, e a incrível empolgação desencadeada pelos primeiros LLMs não se baseava no sucesso de mercado.
A IA veio para ficar
O que vem a seguir para a IA então? Bem, se ela seguir o ciclo de hype do Gartner, o colapso profundo é seguido pela ladeira da iluminação, onde a tecnologia em maturação recupera seu equilíbrio, os benefícios se cristalizam e os fornecedores trazem produtos de segunda e terceira geração ao mercado. E se tudo correr bem, é seguido pelo platô sagrado da produtividade, onde a adoção convencional decola impulsionada pelo amplo apelo de mercado da tecnologia. O Gartner insiste que há alguns grandes “ses”: nem toda tecnologia está destinada a se recuperar após o colapso e o importante é que o produto encontre seu ajuste de mercado rápido o suficiente.
No momento, parece quase certo que a IA veio para ficar. A Apple e o Google estão trazendo produtos de consumo para o mercado que reempacotam a tecnologia em pedaços menores, digeríveis e fáceis de usar (edição de fotos, edição de texto, busca avançada). Embora a qualidade ainda seja muito irregular, parece que pelo menos alguns gamers encontraram uma maneira de produzir IA generativa de uma forma que seja significativa – tanto para os consumidores quanto para seus próprios resultados financeiros.
O que o LLM fez por nós?
OK, onde isso deixa os clientes corporativos – e os aplicativos de segurança cibernética em explicit? O fato é que a IA generativa ainda tem desvantagens significativas que dificultam sua adoção em escala. Uma delas é a natureza fundamentalmente não determinística da IA generativa. Como a tecnologia em si é baseada em modelos probabilísticos (um recurso, não um bug!), haverá uma variação na saída. Isso pode assustar alguns veteranos da indústria que esperam comportamentos de software program da velha escola. Isso também significa que a IA generativa não será uma substituição imediata para ferramentas existentes – é, em vez disso, um aprimoramento e aumento para ferramentas existentes. Ainda assim, ela tem o potencial de atuar como uma camada de uma defesa multicamadas, que também é difícil de prever para invasores.
A outra desvantagem que causa atrito de adoção é o custo. Os modelos são muito caros para treinar e esse alto custo está sendo repassado atualmente aos consumidores dos modelos. Consequentemente, há muito foco em reduzir o custo por consulta. Avanços de {hardware}, juntamente com resultados inovadores no refinamento dos modelos, prometem reduções significativas no uso de energia de modelos de IA em execução, e há uma expectativa razoável de que (pelo menos a saída baseada em texto) se tornará um negócio lucrativo.
Modelos mais baratos e precisos são ótimos, mas também há uma percepção crescente de que a tarefa de integrar esses modelos em fluxos de trabalho organizacionais será um desafio significativo. Como sociedade, ainda não temos experiência para saber como integrar eficientemente tecnologias de IA em práticas de trabalho do dia a dia. Há também a questão de como a força de trabalho humana existente aceitará e trabalhará com as novas tecnologias. Por exemplo, vimos casos em que trabalhadores humanos e clientes preferem interagir com um modelo que favorece a explicabilidade em vez da precisão. Um estudo de março de 2024 da Harvard Medical College descobriu que o efeito da assistência de IA foi inconsistente e variou em uma amostra de teste de radiologistas, com o desempenho de alguns radiologistas melhorando com IA e piorando em outros. A recomendação é que, embora as ferramentas de IA devam ser introduzidas na prática clínica, uma abordagem diferenciada, personalizada e cuidadosamente calibrada deve ser adotada para garantir resultados ideais para os pacientes.
E quanto ao ajuste de mercado que mencionamos anteriormente? Embora a IA generativa (provavelmente) nunca substitua um programador (não importa o que algumas empresas afirmem), a geração de código assistida por IA se tornou uma ferramenta de prototipagem útil para uma variedade de cenários. Isso já é útil para especialistas em segurança cibernética: o código ou a configuração gerados são um ponto de partida razoável para construir algo rapidamente antes de refiná-lo.
A grande ressalva: a tecnologia existente tem an opportunity de acelerar o trabalho de um profissional experiente, que pode depurar e corrigir rapidamente o texto gerado (código ou configuração). Mas pode ser potencialmente desastroso para um usuário que não seja veterano no campo: sempre há uma probability de que uma configuração insegura ou código inseguro seja gerado, que, se chegar à produção, diminuiria a postura de segurança cibernética da organização. Então, como qualquer outra ferramenta, pode ser útil se você souber o que está fazendo, e pode levar a resultados negativos se não souber.
Aqui precisamos alertar sobre uma característica especial da geração atual de ferramentas de IA generativas: elas soam enganosamente confiantes ao proclamar os resultados. Mesmo que o texto esteja flagrantemente errado, todas as ferramentas atuais o oferecem de uma maneira autoconfiante que facilmente engana usuários novatos. Então, tenha em mente: o computador está mentindo sobre o quão certo ele está, e às vezes ele está muito errado.
Outro caso de uso eficaz é o suporte ao cliente, mais especificamente o suporte de nível 1 – a capacidade de ajudar clientes que não se preocupam em ler o guide ou as FAQs publicadas. Um chatbot moderno pode responder razoavelmente a perguntas simples e encaminhar consultas mais avançadas para níveis mais altos de suporte. Embora isso não seja exatamente o ultimate do ponto de vista da experiência do cliente, a economia de custos (especialmente para organizações muito grandes com muitos usuários não treinados) pode ser significativa.
A incerteza sobre como a IA se integrará aos negócios é uma bênção para o setor de consultoria de gestão. Por exemplo, o Boston Consulting Group agora ganha 20% de sua receita com projetos relacionados à IA, enquanto a McKinsey espera que 40% de sua receita venha de projetos de IA este ano. Outras consultorias como IBM e Accenture também estão a bordo. Os projetos de negócios são bastante variados: facilitando a tradução de anúncios de um idioma para outro, pesquisa aprimorada para aquisição ao avaliar fornecedores e chatbots de atendimento ao cliente reforçados que evitam alucinações e incluem referências a fontes para aumentar a confiabilidade. Embora apenas 200 de 5.000 consultas de clientes passem pelo Chatbot no ING, pode-se esperar que isso aumente à medida que a qualidade das respostas aumenta. Analogamente à evolução da pesquisa na Web, pode-se imaginar um ponto de inflexão em que se torna uma reação impulsiva “perguntar ao bot” em vez de vasculhar o atoleiro de dados.
A governança da IA deve abordar as preocupações com a segurança cibernética
Independentemente de casos de uso específicos, as novas ferramentas de IA trazem um novo conjunto de dores de cabeça de segurança cibernética. Como RPAs no passado, chatbots voltados para o cliente precisam de identidades de máquina com acesso apropriado, às vezes privilegiado, a sistemas corporativos. Por exemplo, um chatbot pode precisar ser capaz de identificar o cliente e extrair alguns registros do sistema CRM – o que deve imediatamente disparar alarmes para veteranos de IAM. Definir controles de acesso precisos em torno desta tecnologia experimental será um aspecto basic do processo de implementação.
O mesmo é verdade para ferramentas de geração de código usadas em processos Dev ou DevOps: definir o acesso correto ao repositório de código limitará o raio de explosão caso algo dê errado. Também reduz o efeito de uma potencial violação, caso a própria ferramenta de IA se torne uma responsabilidade de segurança cibernética.
E, claro, sempre há o risco de terceiros: ao trazer uma ferramenta tão poderosa, mas pouco compreendida, as organizações estão se abrindo para adversários que sondam os limites da tecnologia LLM. A relativa falta de maturidade aqui pode ser problemática: ainda não temos as melhores práticas para fortalecer LLMs, então precisamos garantir que eles não tenham privilégios de escrita em locais sensíveis.
As oportunidades para IA em IAM
Neste ponto, casos de uso e oportunidades para IA em controle de acesso e IAM estão tomando forma e sendo entregues aos clientes em produtos. Áreas tradicionais de ML clássico, como mineração de funções e recomendações de direitos, estão sendo revisitadas à luz de métodos e UIs modernos, com criação e evolução de funções sendo mais firmemente entrelaçadas em fluxos de trabalho de governança prontos para uso e UIs. Inovações mais recentes inspiradas em IA, como análise de grupo de pares, recomendações de decisão e governança orientada por comportamento, estão se tornando comuns no mundo da Governança de Identidade. Os clientes agora esperam que tecnologias de ponto de execução, como sistemas de Gerenciamento de Acesso SSO e sistemas de Gerenciamento de Conta Privilegiada, ofereçam detecção de anomalias e ameaças com base em comportamento e sessões do usuário.
Interfaces de linguagem pure estão começando a melhorar muito a UX em todas essas categorias de solução IAM ao permitir trocas interativas de linguagem pure com o sistema. Ainda precisamos de relatórios e painéis estáticos, mas a capacidade de pessoas com diferentes responsabilidades e necessidades de se expressarem em linguagem pure e refinarem os resultados da pesquisa interativamente diminui as habilidades e o treinamento necessários para garantir que as organizações percebam o valor desses sistemas.
Este é o fim do começo
Uma coisa é certa: qualquer que seja o estado da tecnologia de IA em meados de 2024, não será o fim deste campo. IA generativa e LLMs são apenas um subcampo da IA, com vários outros campos relacionados à IA fazendo rápido progresso graças aos avanços em {hardware} e generoso financiamento governamental e privado para pesquisa.
Seja qual for a forma que a IA madura e pronta para empresas assumirá, os veteranos da segurança já precisam considerar os benefícios potenciais que a IA generativa pode trazer para sua postura defensiva, o que essas ferramentas podem fazer para abrir buracos nas defesas existentes e como podemos conter o raio de explosão se o experimento der errado.
Observação: Este artigo escrito por especialistas é contribuído por Robert Byrne, estrategista de campo na One Identification. Rob tem mais de 15 anos de experiência em TI, ocupando várias funções, como desenvolvimento, consultoria e vendas técnicas. Sua carreira tem se concentrado predominantemente em gerenciamento de identidade. Antes de ingressar na Quest, Rob trabalhou com Oracle e Solar Microsystems. Ele é bacharel em matemática e computação.
