Pe măsură ce tot mai mulți consumatori se pregătesc să utilizeze agenți de inteligență artificială personală (IA) pentru a cerceta și a achiziționa bunuri în numele lor, asigurarea că acești asistenți digitali nu devin necinstiți și nu se lansează într-o sesiune de cumpărături a devenit o preocupare de securitate în industria comerțului electronic.
Conform datelor de la Akamai, traficul de la agenții și boții IA aproape s-a triplat în ultimul an. Într-o perioadă de două luni, industria comerțului a înregistrat peste 25 de miliarde de solicitări de boți IA, China, India și Singapore reprezentând cea mai mare parte a traficului.
„În acest context, comercianții online care s-au concentrat pe apărarea traficului de boți rău intenționați vor trebui să își regândească strategiile de securitate”, a declarat Reuben Koh, director de tehnologie și strategie de securitate la Akamai. „Comercianții au fost atât de obișnuiți cu vechea gândire că boții și automatizarea sunt inamicul”, a spus el. „Acum, se află într-un scenariu cu creiere divizate – nu mai pot bloca totul pentru că mai puțini oameni le vizitează site-urile, dar nici nu pot deschide porțile.”
Pentru a atenua potențialele riscuri de securitate pentru comercianții care doresc să găzduiască mai mulți agenți comerciali și pentru a preveni compromiterea acestor agenți de către actorii amenințători, Akamai a încheiat un parteneriat cu Visa pentru a securiza tranzacțiile agenților, utilizând protocolul de încredere pentru agenți (TAP) al Visa, alături de inteligența comportamentală a Akamai.
„Gândiți-vă la Visa ca la furnizorul de pașapoarte și la Akamai ca la ofițerul de imigrare”, a spus Koh, adăugând că Visa va verifica identitatea agentului și a persoanei din spatele acestuia și va semna criptografic intenția tranzacției. Akamai acționează apoi ca un control de frontieră, analizând originea și comportamentul agentului în timp real.
„Un agent bun, verificat de Visa, care provine dintr-o locație necorespunzătoare, cum ar fi un server compromis, va fi blocat de noi”, a adăugat el. „Și dacă un agent verificat intră cu intenția declarată de a naviga, dar începe brusc să extragă date sau să testeze numerele cardurilor de credit, inteligența comportamentală a Akamai va detecta acest lucru și îl va opri.”
„În timp ce Visa verifică identitatea, iar Akamai securizează transportul și comportamentul, creatorii de modele trebuie să își facă partea pentru a se asigura că agenții nu se abat de la instrucțiunile utilizatorului”, a spus Koh. „Capacitatea agentului de a executa cu precizie vine de la furnizorul de agent. Responsabilitatea lor este să se asigure că agentul nu are halucinații – de exemplu, dacă îi cer să cumpere o pereche de pantofi sport, nu cumpără doi saci de orez pentru că simte că am nevoie de ei.”
Standardele deschise sunt esențiale în comerțul cu agenți
Parteneriatul Akamai cu Visa a fost posibil datorită adoptării timpurii a standardului Web Bot Authentication (WBA), care, împreună cu Universal Commerce Protocol dezvoltat de Google și Shopify, servește drept fundament pentru economia cu agenți emergentă.
Deoarece WBA este un standard deschis – probabil va fi ratificat de Internet Engineering Task Force – acesta previne dependența de furnizor și permite Akamai să suporte simultan mai multe ecosisteme de plată. În timp ce straturile proprietare, cum ar fi TAP de la Visa, adaugă caracteristici specifice de identitate, WBA servește ca standard de bază pentru autentificarea boților și furnizarea de informații suplimentare despre operatorii lor către site-urile web.
„Dacă există un alt furnizor de plăți care vine cu propriul standard bazat pe WBA, atunci ne este ușor și rapid să ne integrăm lucrurile cu ei”, a explicat el.
Koh a menționat că această decizie arhitecturală permite Akamai să își extindă parteneriatele dincolo de acordul actual cu Visa, adăugând că firma este în negocieri active cu alți furnizori majori de plăți și startup-uri fintech.
Pe lângă prevenirea erorilor, furnizorii de agenți trebuie să implementeze și bariere de siguranță pentru a preveni daunele financiare, cum ar fi un agent care cheltuie prea mult sau epuizează cardul de credit al unui utilizator. „Trebuie să ne asigurăm că agentul nu face o furie amețitoare”, a spus Koh. „Toți trei – Visa, Akamai și furnizorul de agenți – trebuie să lucrăm în tandem.”
Aceasta include securizarea substratului care stă la baza IA agentic: interfețele de programare a aplicațiilor (API) pe care agenții se bazează pentru a obține acces la sisteme și date.
„Pentru ca IA să interacționeze cu lumea reală – cumpărarea de lucruri, crearea de documente sau rezervarea de bilete de avion – este nevoie de API-uri”, a spus Koh. „Dar din perspectiva unui atacator, nu trebuie să atac agentul; trebuie doar să țintesc API-urile care execută instrucțiunile.”
El a avertizat asupra scenariilor care implică deturnarea obiectivelor, în care un atacator manipulează canalul de date API pentru a modifica obiectivele unui agent – de exemplu, transformarea unei instrucțiuni de a cumpăra alimente în valoare de 200 de dolari într-o tranzacție pentru un articol de lux de 5.000 de dolari.
Având în vedere că tranzacțiile API sunt pe cale să crească pe măsură ce agenții automatizați încep să facă cumpărături la scară largă, Koh consideră că securitatea API va deveni veriga slabă. „Deja vedem atacuri API asupra aplicațiilor tradiționale; numărul tot mai mare de tranzacții agențice nu va face decât să agraveze problema”, a spus el.
Agravează lucrurile și lucrul excesiv cu agenți – una dintre primele 10 probleme ale Open Web Application Security Project. o listă de vulnerabilități majore de securitate ale modelelor lingvistice – în care dezvoltatorii, sub presiunea de a livra rapid produsele, acordă agenților IA mai multe permisiuni decât este necesar.
„Avem de-a face cu identități non-umane la scară largă – nu 20 de angajați, ci 500.000 de agenți”, a spus Koh. „Dacă un agent are prea multe permisiuni și suferă de halucinații sau prejudecăți, este posibil ca barierele de siguranță să nu mai fie eficiente.”
