API — ключ к успеху и безопасности генеративного ИИ

Безопасность API станет основополагающим средством защиты, которое необходимо будет использовать каждой организации, если она собирается применять искусственный интеллект в любом виде, пишет на портале Network Computing Лори Маквитти, главный технический евангелист в офисе технического директора компании F5 Networks.

Никто не строит дом, не заложив предварительно фундамент. По крайней мере, никто не рассчитывает, что дом без фундамента простоит долго. Когда предприятия принимают решение о долгосрочных инвестициях в какую-либо возможность, они подходят к этому точно так же. То есть они строят фундамент. Или, по крайней мере, должны. Все большую роль в этой области играют API (прикладные программные интерфейсы).

Почему? Очевидно, что предприятия планируют инвестировать в генеративный ИИ и ИИ в целом в долгосрочной перспективе. То есть большинство из них пока не спешат отхватить кусок пирога ИИ. Они подходят к этому с точки зрения инвестора. То есть как к стратегическому решению, требующему фундамента, который может быть заложен, а может и не быть.

Учитывая это, становится ясно, что любая такая основа должна поддерживать две вещи: гибридный подход к развертыванию и безопасность API.

Наши исследования показывают, что как LLM (большие языковые модели), так и приложения, созданные для использования их преимуществ — будь то советники, агенты или помощники, — будут развертываться как онпремис, так и в публичном облаке. Хотя предпочтение отдается публичному облаку, оба варианта вероятны для всех компонентов, составляющих то, что сейчас называют «ИИ-приложениями».

Для многих компаний это проблематично, поскольку в настоящее время они сталкиваются со сложностью управления даже обычными приложениями. При наличии слишком большого количества инструментов и API, распределенных по нескольким публичным облакам и онпремис, руководители компаний, глядя на свою гибридную инфраструктуру, задаются вопросом, как они собираются добавить в эту смесь ИИ, поскольку, по общему мнению, API станут неотъемлемой частью создания приложений ИИ.

Это не просто общее мнение, оно подтверждено данными. Отчет компании Menlo показывает, что почти треть (31%) пользователей ИИ применяют методы расширенного поиска (retrieval augmented generation, RAG), которые используют API для доступа к пользовательским источникам данных и инструментам, а согласно исследованию Sequoia Capital, 94% используют API для фундаментальных моделей.

Роль API в искусственном интеллекте

API связывают нас с LLM. С их помощью наши чат-интерфейсы — будь то приложения на телефонах или в браузере — подключаются к сложному набору микросервисов, составляющих «ИИ» в бэкэнде. С их помощью создаются агенты и оркестрируются потоки между несколькими LLM.

API являются ключевым фактором, способствующим развитию ИИ. Без них мы, скорее всего, продолжали бы видеть, как ИИ упоминается в фоновом режиме применительно к повышению эффективности служб безопасности, но не более того. API делают сложные вычисления доступными, и это раскрывает возможности LLM и нашего воображения.

Но им нужна безопасность. Очень нужна.

Отраслевые исследования показывают, что все больше организаций сталкиваются с инцидентами и утечками данных через API:

• 74% сообщили как минимум о трех случаях утечки данных, связанных с API, за последние два года.
• 31% столкнулись с утечкой конфиденциальных данных, а 17% — с утечкой данных, вызванной пробелами в системе безопасности API (Salt Security «State of API Security Report Q1 2023»).
• 78% сообщили об инцидентах, связанных с безопасностью API, в 2023 г.

И это еще до того, как мы добавим в игру ИИ и все API, на которые он опирается и которые генерирует.

Неудивительно, что в нашем ежегодном исследовании «The State of Application Strategy in 2023» мы задали много вопросов об ИИ и API и не были разочарованы результатами. Мы также не слишком удивились, обнаружив, что главная служба безопасности, которую респонденты используют или планируют использовать при работе с ИИ, — это... безопасность API.

Эта безопасность распространяется на разработку и производство, связанные с ИИ. Это означает обучение и составление выводов на современном лингва-франка. Безопасность API сегодня еще не готова справиться с обеими задачами. Она нуждается в дополнении, чтобы справиться с тем, что традиционно относилось к возможностям обеспечения соответствия. Это маскировка данных и очистка персональных данных. Хотя эти возможности широко распространены в средах разработки, они не так широко распространены в производстве и, как правило, не работают в тех масштабах, которые необходимы для защиты компаний и клиентов от утечки информации.

Тем не менее, безопасность API станет основополагающим средством защиты, которое необходимо использовать каждой организации, если она собирается применять ИИ в любом качестве, поскольку API — это способ интеграции моделей ИИ с приложениями, от чатботов до агентов и автономных ИТ-систем.

Поэтому, если вы еще не задумывались о стратегии безопасности API, самое время, потому что она вам понадобится.