کلودفلر از سیستم امتیازدهی برای ارزیابی ریسک Shadow AI رونمایی کرد

کلودفلر، در همایش AI Week 2025، از سیستمی جدید به نام Application Confidence Scores رونمایی کرد. این سیستم، یک ابزار خودکار برای ارزیابی امنیت اپلیکیشن‌های هوش مصنوعی شخص ثالث در مقیاس سازمانی ارائه می‌کند.

این سیستم امتیازدهی قرار است به چالش‌های رو‌به‌رشد Shadow IT و Shadow AI پاسخ دهد؛ جایی که کارمندان بدون تأیید رسمی از ابزارهای مولد هوش مصنوعی استفاده می‌کنند و همین موضوع می‌تواند باعث افشای داده‌های حساس سازمان یا ذخیره‌سازی طولانی‌مدت اطلاعات کاربران با شیوه‌های امنیتی ضعیف شود.

امتیازدهی کلودفلر برای هر اپلیکیشن دو نمره جداگانه از ۱ تا ۵ ارائه می‌دهد:

• Application Confidence Score: معیاری برای سنجش بلوغ کلی SaaS
• Gen-AI Confidence Score: معیاری برای تمرکز بر ریسک‌های خاص ابزارهای مولد هوش مصنوعی.

آیوش کومار (Ayush Kumar، مدیر محصول ارشد کلودفلر) و شارون گلدبرگ (Sharon Goldberg، مدیر محصول کلودفلر و بنیان‌گذار سابق BastionZero) توضیح می‌دهند که این سیستم می‌تواند به تیم‌های امنیت کمک کند تا در مقیاس سازمانی، سیاست‌های دسترسی به ابزارهای هوش مصنوعی را تعریف کنند.

«امتیازدهی‌ها بر اساس حدس و گمان یا «الگوریتم‌های یادگیری» و «موتورهای هوش مصنوعی» جعبه‌سیاه نیستند. ما از قضاوت‌های سلیقه‌ای یا تست‌های گسترده red-teaming پرهیز می‌کنیم، چون اجرای آن‌ها در طول زمان، به‌طوری قابل‌اعتماد و پایدار باشند، دشوار است. در عوض، امتیازها بر پایه یک چارچوب عینی محاسبه می‌شوند که جزئیات آن را در یک پست بلاگ توضیح داده‌ایم. این چارچوب به‌صورت عمومی نگهداری می‌شود و همیشه در مستندات توسعه‌دهندگان Cloudflare به‌روز خواهد ماند.»

پیشنهاد مطالعه: ساخت دستیار هوش مصنوعی با OpenAI Assistant API

در محاسبه Application Confidence Score، معیارهایی از این قبیل لحاظ می‌شوند: 

• رعایت الزامات قانونی (SOC 2، GDPR، ISO 27001)
• شیوه‌های مدیریت داده، کنترل‌های امنیتی
• پایداری مالی (برای ارزیابی توان ادامه‌ حیات شرکت سازنده اپلیکیشن).

و برای Gen-AI Confidence Score:

• تمرکز بر مدل امنیتی استقرار
• وجود Model Card‌ها
• نحوه آموزش روی Promptهای کاربر.

والتر هیداک (Walter Haydock)، بنیان‌گذار StackAware، در این باره گفته:

«امتیاز اعتماد اپلیکیشن‌های هوش مصنوعی کلودفلر به استاندارد ISO 42001 هم اشاره دارد. برایم جالب است که این را چطور ارزیابی می‌کنند، چون در پست وبلاگ هم از گواهی و هم از انطباق صحبت شده، که الزاما یکسان نیستند.»

هر بخش از این چارچوب آزمون امنیت و انطباق، بر پایه داده‌های عمومی مانند سیاست‌های حفظ حریم خصوصی، اسناد امنیتی، گواهی‌های انطباق، model cardها و گزارش‌های رخداد است. در صورتی که داده‌ای موجود نباشد، امتیازی هم اختصاص داده نمی‌شود.

طبق اعلام کلودفلر، جمع‌آوری داده‌ها از طریق خزنده‌های وب (Crawlers) انجام می‌شود. از هوش مصنوعی فقط برای استخراج و محاسبه امتیازها استفاده می‌شود و برای افزایش دقت این روند نظارت انسانی نیز بخش بزرگی از پروسه است.

تا این لحظه، تیم کلودفلر فقط منطق عملکرد سیستم را توضیح داده است؛ اما هنوز این امتیازها در هیچ سرویس مدیریت‌شده‌ای استفاده نمی‌شوند. قرار است این سیستم به‌عنوان بخشی از مجموعه قابلیت‌های جدید AI Security Posture Management در پلتفرم One SASE ارائه شوند، اما هنوز زمان مشخصی برای انتشار آن اعلام نشده است. پس از انتشار آن، کاربران می‌توانند با کلیک یا هاور روی هر امتیاز، جزئیات کامل معیارها و اجزای تشکیل‌دهنده آن را ببیند.

همزمان در AI Week 2025، کلودفلر چند قابلیت دیگه هم معرفی کرد که هدف آن‌ها ایمن‌سازی دسترسی به ابزارهای هوش مصنوعی است. این امکانات شامل:

• داشبوردهای Shadow AI برای نمایش داده‌محور از ابزارهای AI مورد استفاده کارمندان،
• کنترل‌های API CASB ویژه AI برای تشخیص پیکربندی‌های پرریسک، نشت داده و مشکلات امنیتی،
• پورتال‌های MCP Server برای مشاهده همه ارتباطات MCP در یک سازمان،
• و ویژگی AI Prompt Protection (فعلا در حالت بتا) با پشتیبانی از ChatGPT، Claude، Gemini و Perplexity.

منبع: infoq.com

مطالب مرتبط

Unsloth آموزش‌هایی با هدف ساده کردن مقایسه LLMها طراحی کرد جولز گوگل راه‌اندازی شد: عامل کدنویسی مجهز به Gemini 2.5 Claude Opus 4.1 ری‌فکتور کد و ایمنی را بهبود می‌دهد