人工智能為應用程序體驗帶來了新的模式，為開發人員在身份驗證和授權方面帶來了新的益處和挑戰。

譯自How AI Changes App Authentication and Authorization，作者 Shiv Ramji。

人工智能無處不在。您無法在沒有遇到應用程序或增強型在線服務的情況下進行任何操作。根據 IBM 的數據，76% 的公司正在使用或探索人工智能在其業務中的應用，而 Okta 委托 SD Times 進行的研究發現，97% 的產品工程團隊預計到 2024 年底將在開發中使用人工智能工具。

人工智能帶來了前所未有的生產力提升。然而，它也導致了新的網絡攻擊，損害了企業和人們的數據。隨著人工智能越來越深入地融入我們的日常生活，我預測人工智能的未來將是一個智能代理代表我們運作的數字世界。它們為我們預訂酒店或航班，購買音樂會門票或出售股票市場股票。由于這些情況需要使用個人數據和信息；人們必須信任人工智能的身份。

標準身份挑戰現在將具有新的維度。開發人員需要在為用戶提供不同級別的訪問和控制以及代表他們運行的人工智能代理之間進行導航。這種應用程序安全的額外復雜性對于內部構建身份解決方案的開發人員來說尤其困難。

人工智能給傳統應用程序帶來了新的威脅

人工智能現在有能力增強傳統的應用程序安全威脅。例如，聊天機器人和令人信服的語音深度偽造正在被用于社會工程攻擊；攻擊者正在使用人工智能來快速檢測和利用應用程序中的漏洞。

借助人工智能，不法分子可以更輕松地擴展其運營，而諸如網絡釣魚之類的活動不再是手動、昂貴的任務。研究人員甚至發現，深度學習語言模型可以幫助編寫更有效的網絡釣魚電子郵件，比人類更有效。

隨著這些基于身份的攻擊變得越來越危險，開發人員必須確保其應用程序授權和身份驗證是安全的，并且只有合法用戶才能成功訪問其帳戶。

開發人員是新的機器人戰斗者

面對這些不斷變化的應用程序安全威脅，開發人員必須與試圖破壞客戶身份的不法分子和機器人作斗爭。由于機器人占所有互聯網流量的近50%，開發人員需要在使惡意行為者更難濫用注冊和登錄以及提供能夠提高最終用戶采用的數字體驗之間取得平衡。

機器人已經變得非常擅長解決簡單的基于圖像的 CAPTCHA——通常比人類更快、更準確地解決它們。在這種情況下，人工智能驅動的工具可以幫助開發人員充當有效的防御機制，分析攻擊模式并檢測機器人活動，幾乎不會給客戶帶來任何摩擦。這些工具可以分析與應用程序訪問活動相關的各種信號，并將它們與歷史數據進行比較，以查找常見模式。如果檢測到可疑活動，將要求額外的身份驗證因素來驗證用戶的身份。

人工智能驅動的應用程序的新漏洞

作為軟件開發的新領域，人工智能應用程序面臨著與傳統應用程序類似的安全問題，例如未經授權訪問信息，但惡意行為者使用的是新技術。

對于人工智能驅動的應用程序，應用程序架構的經典構建塊，例如前端、后端和數據庫，被新的元素所取代，例如大型語言模型 (LLM)和向量數據庫。這給傳統的應用程序安全帶來了新的挑戰——提示注入、數據中毒和數據泄露等等。開放式全球應用程序安全項目 (OWASP) 已經編制了一份基于 LLM 的應用程序的十大漏洞列表。其中許多與身份相關，例如敏感信息泄露（當應用程序由于缺乏適當的授權或過濾過程而泄露敏感信息時）和過度代理（當 AI 代理被委托根據輸入提示或 LLM 的輸出執行操作時，而沒有采取適當的預防措施）。

對于應用程序開發來說，這是一個全新的領域。它為傳統的身份挑戰帶來了新的維度，例如確保只有授權用戶才能訪問特定資源，以及能夠驗證 AI 代理的身份以執行敏感操作，這需要仔細的授權過程。

有用的創新正在進行中

身份是 AI 時代任何應用程序的基礎，但開發人員很容易將時間花在內部構建和維護身份上。幸運的是，針對創新的研究正在進行中，以幫助您構建安全的 AI 應用程序。Auth0Lab團隊已經開始嘗試通過 AI 和細粒度身份驗證 (FGA) 以及內容真實性等機會來保護基于 AI 的應用程序。

在 Okta，我們擴展了 Auth0 免費計劃并增強了付費層級——免費提供多因素身份驗證 (MFA) 和無密碼等身份工具——并推出了Okta AI，使身份易于實施和擴展以滿足任何用例。