De AI-kater is hier – het einde van het begin

Na een goed jaar van aanhoudende uitbundigheid is de kater eindelijk hier. Het is een milde (voor nu), aangezien de markt de aandelenkoers van de grote spelers (zoals Nvidia, Microsoft en Google) corrigeert, terwijl andere spelers de markt opnieuw beoordelen en prioriteiten aanpassen. Gartner noemt het de trog van desillusie, wanneer de interesse afneemt en implementaties niet de beloofde doorbraken opleveren. Producenten van de technologie schudden zich los of falen. Investeringen gaan alleen door als de overgebleven aanbieders hun producten verbeteren tot tevredenheid van de early adopters.

Laten we duidelijk zijn: dit was altijd al het geval: de post-menselijke revolutie die de AI-aanhangers beloofden, was nooit een realistisch doel. En de enorme opwinding die de eerste LLM’s teweegbrachten, was niet gebaseerd op succes in de markt.

AI is hier om te blijven

Wat is dan het volgende voor AI? Nou, als het de Gartner hype-cyclus volgt, wordt de diepe crash gevolgd door de helling van verlichting, waarbij de volwassen technologie weer op gang komt, voordelen kristalliseren en leveranciers producten van de tweede en derde generatie op de markt brengen. En als alles goed gaat, wordt het gevolgd door het heilige plateau van productiviteit, waar de mainstream-acceptatie op gang komt, gedreven door de brede marktaantrekkingskracht van de technologie. Gartner benadrukt dat er een paar grote mitsen zijn: niet elke technologie is voorbestemd om te herstellen na de crash en wat belangrijk is, is dat het product snel genoeg zijn marktfit vindt.

Op dit moment lijkt het er bijna zeker op dat AI hier is om te blijven. Apple en Google brengen consumentenproducten op de markt die de technologie herverpakken in kleinere, verteerbare, gebruiksvriendelijke brokken (fotobewerking, tekstbewerking, geavanceerd zoeken). Hoewel de kwaliteit nog steeds erg wisselend is, lijkt het erop dat ten minste enkele spelers een manier hebben gevonden om generatieve AI op een zinvolle manier te produceren – zowel voor consumenten als voor hun eigen winst.

Wat heeft de LLM ooit voor ons gedaan?

Oké, waar laat dit zakelijke klanten – en cybersecuritytoepassingen in het bijzonder? Het feit is dat generatieve AI nog steeds aanzienlijke nadelen heeft die de grootschalige adoptie ervan belemmeren. Een daarvan is de fundamenteel niet-deterministische aard van generatieve AI. Omdat de technologie zelf is gebaseerd op probabilistische modellen (een functie, geen bug!), zal er een variatie in output zijn. Dit kan sommige veteranen in de industrie afschrikken die ouderwets softwaregedrag verwachten. Het betekent ook dat generatieve AI geen drop-in vervanging zal zijn voor bestaande tools – het is eerder een verbetering en uitbreiding voor bestaande tools. Toch heeft het de potentie om te functioneren als één laag van een gelaagde verdediging, een die ook moeilijk te voorspellen is voor aanvallers.

Het andere nadeel dat leidt tot frictie bij de acceptatie zijn de kosten. De modellen zijn erg duur om te trainen en deze hoge kosten worden momenteel doorberekend aan de consumenten van de modellen. Daarom ligt er veel nadruk op het verlagen van de kosten per query. Hardware-ontwikkelingen, gekoppeld aan baanbrekende resultaten bij het verfijnen van de modellen, beloven een aanzienlijke afname van het energieverbruik van draaiende AI-modellen, en er is een redelijke verwachting dat (in ieder geval tekstgebaseerde output) zal uitgroeien tot een winstgevende business.

Goedkopere en nauwkeurigere modellen zijn geweldig, maar er is ook een groeiend besef dat de taak om deze modellen te integreren in organisatorische workflows een aanzienlijke uitdaging zal zijn. Als samenleving hebben we nog niet de ervaring om te weten hoe we AI-technologieën efficiënt kunnen integreren in dagelijkse werkpraktijken. Er is ook de vraag hoe de bestaande menselijke beroepsbevolking de nieuwe technologieën zal accepteren en ermee zal werken. We hebben bijvoorbeeld gevallen gezien waarin menselijke werknemers en klanten liever omgaan met een model dat uitlegbaarheid boven nauwkeurigheid stelt. Een onderzoek van maart 2024 door de Harvard Medical School ontdekte dat het effect van AI-assistentie inconsistent was en varieerde in een testgroep van radiologen, waarbij de prestaties van sommige radiologen verbeterden met AI en verslechterden bij anderen. De aanbeveling is dat hoewel AI-tools in de klinische praktijk moeten worden geïntroduceerd, een genuanceerde, gepersonaliseerde en zorgvuldig gekalibreerde aanpak moet worden gehanteerd om optimale resultaten voor patiënten te garanderen.

Hoe zit het met de marktfit die we eerder noemden? Hoewel generatieve AI (waarschijnlijk) nooit een programmeur zal vervangen (ongeacht wat sommige bedrijven beweren), is AI-ondersteunde codegeneratie een nuttige prototypingtool geworden voor verschillende scenario’s. Dit is al nuttig voor cybersecurityspecialisten: gegenereerde code of configuratie is een redelijk startpunt om snel iets te bouwen voordat u het verfijnt.

De grote kanttekening: de bestaande technologie heeft de kans om het werk van een doorgewinterde professional te versnellen, die snel de gegenereerde tekst (code of configuratie) kan debuggen en repareren. Maar het kan potentieel rampzalig zijn voor een gebruiker die geen veteraan is in het veld: er is altijd een kans dat onveilige configuratie of onveilige code wordt gegenereerd, die, als het in productie komt, de cybersecurity-houding van de organisatie zou verlagen. Dus, net als elk ander hulpmiddel, kan het nuttig zijn als je weet wat je doet, en kan het leiden tot negatieve uitkomsten als je dat niet doet.

Hier moeten we waarschuwen voor een speciaal kenmerk van de huidige generatie generatieve AI-tools: ze klinken misleidend zelfverzekerd wanneer ze de resultaten verkondigen. Zelfs als de tekst ronduit fout is, bieden alle huidige tools het op een zelfverzekerde manier aan die beginnende gebruikers gemakkelijk misleidt. Houd dus in gedachten: de computer liegt over hoe zeker hij is, en soms heeft hij het helemaal mis.

Een ander effectief use case is klantenondersteuning, specifieker niveau 1-ondersteuning: de mogelijkheid om klanten te helpen die niet de moeite nemen om de handleiding of de geplaatste FAQ’s te lezen. Een moderne chatbot kan redelijkerwijs eenvoudige vragen beantwoorden en meer geavanceerde vragen doorsturen naar hogere niveaus van ondersteuning. Hoewel dit niet bepaald ideaal is vanuit het oogpunt van klantervaring, kunnen de kostenbesparingen (vooral voor zeer grote organisaties met veel ongetrainde gebruikers) zinvol zijn.

De onzekerheid over hoe AI in bedrijven zal worden geïntegreerd, is een zegen voor de managementconsultancybranche. Boston Consulting Group verdient bijvoorbeeld nu 20% van zijn inkomsten uit AI-gerelateerde projecten, terwijl McKinsey verwacht dat 40% van zijn inkomsten dit jaar uit AI-projecten zal komen. Andere adviesbureaus zoals IBM en Accenture doen ook mee. De bedrijfsprojecten zijn behoorlijk gevarieerd: het eenvoudig maken om advertenties van de ene taal naar de andere te vertalen, verbeterde zoekopdrachten voor inkoop bij het evalueren van leveranciers en geharde chatbots voor klantenservice die hallucinaties vermijden en verwijzingen naar bronnen opnemen om de betrouwbaarheid te vergroten. Hoewel slechts 200 van de 5000 klantvragen via de chatbot bij ING gaan, kan worden verwacht dat dit zal toenemen naarmate de kwaliteit van de reacties toeneemt. Analoog aan de evolutie van internetzoekopdrachten, kun je je een omslagpunt voorstellen waarop het een knie-reflexreactie wordt om “de bot te vragen” in plaats van zelf in het datamoeras te scharrelen.

AI Governance moet aandacht besteden aan zorgen over cyberveiligheid

Onafhankelijk van specifieke use cases brengen de nieuwe AI-tools een hele nieuwe set cybersecurity-hoofdpijnen met zich mee. Net als RPA’s in het verleden hebben klantgerichte chatbots machine-identiteiten nodig met passende, soms bevoorrechte toegang tot bedrijfssystemen. Een chatbot moet bijvoorbeeld de klant kunnen identificeren en een aantal records uit het CRM-systeem kunnen halen, wat onmiddellijk alarmbellen zou moeten doen rinkelen bij IAM-veteranen. Het instellen van nauwkeurige toegangscontroles rond deze experimentele technologie zal een belangrijk aspect zijn van het implementatieproces.

Hetzelfde geldt voor codegeneratietools die worden gebruikt in Dev- of DevOps-processen: het instellen van de juiste toegang tot de coderepository beperkt de explosieradius in het geval dat er iets misgaat. Het vermindert ook het effect van een potentiële inbreuk, in het geval dat de AI-tool zelf een cybersecurity-aansprakelijkheid wordt.

En natuurlijk is er altijd het risico van derden: door zo’n krachtige maar weinig begrepen tool in te zetten, stellen organisaties zichzelf bloot aan tegenstanders die de grenzen van LLM-technologie verkennen. Het relatieve gebrek aan volwassenheid hier kan problematisch zijn: we hebben nog geen best practices voor het harden van LLM’s, dus we moeten ervoor zorgen dat ze geen schrijfrechten hebben op gevoelige plekken.

De kansen voor AI in IAM

Op dit punt krijgen use cases en kansen voor AI in toegangscontrole en IAM vorm en worden ze in producten aan klanten geleverd. Traditionele gebieden van klassieke ML zoals rolmining en rechtenaanbevelingen worden herzien in het licht van moderne methoden en UI’s, waarbij rolcreatie en -evolutie nauwer verweven zijn met out-of-the-box governance-workflows en UI’s. Recentere door AI geïnspireerde innovaties zoals peer group-analyse, beslissingsaanbevelingen en gedragsgestuurde governance worden standaard in de wereld van Identity Governance. Klanten verwachten nu dat handhavingspunttechnologieën zoals SSO Access Management-systemen en Privileged Account Management-systemen AI-gestuurde anomalie- en bedreigingsdetectie bieden op basis van gebruikersgedrag en sessies.

Natuurlijke taalinterfaces beginnen de UX in al deze categorieën van IAM-oplossingen enorm te verbeteren door interactieve natuurlijke taaluitwisselingen met het systeem mogelijk te maken. We hebben nog steeds statische rapporten en dashboards nodig, maar de mogelijkheid voor personen met verschillende verantwoordelijkheden en behoeften om zichzelf in natuurlijke taal uit te drukken en de zoekresultaten interactief te verfijnen, verlaagt de vaardigheden en training die nodig zijn om ervoor te zorgen dat organisaties waarde uit deze systemen halen.

Dit is het einde van het begin

Eén ding is zeker: wat de status van AI-technologie ook is medio 2024, het zal niet het einde van dit vakgebied zijn. Generatieve AI en LLM’s zijn slechts één subgebied van AI, met meerdere andere AI-gerelateerde vakgebieden die snelle vooruitgang boeken dankzij vooruitgang in hardware en genereuze overheids- en private onderzoeksfinanciering.

Welke vorm volwassen, bedrijfsklare AI ook krijgt, beveiligingsveteranen moeten nu al nadenken over de potentiële voordelen die generatieve AI kan bieden voor hun verdedigingspositie, wat deze hulpmiddelen kunnen doen om gaten te slaan in de bestaande verdediging en hoe we de explosieradius kunnen beperken als het experiment mislukt.

Opmerking: Dit vakkundig geschreven artikel is geschreven door Robert Byrne, Field Strategist bij One Identity. Rob heeft meer dan 15 jaar ervaring in IT, met verschillende functies zoals ontwikkeling, consultancy en technische verkoop. Zijn carrière is voornamelijk gericht op identiteitsbeheer. Voordat hij bij Quest kwam, werkte Rob bij Oracle en Sun Microsystems. Hij heeft een Bachelor of Science-graad in wiskunde en informatica.

Thijs Van der Does