Nel nostro viaggio lungo le strade del metaverso abbiamo visto che diverse sono le tecnologie utilizzate per supportare e definire questa nostra nuova estensione digitale. Tra queste merita sicuramente la nostra attenzione l’intelligenza artificiale (AI, Artificial Intelligence), le sue evoluzioni e possibili applicazioni in uno scenario metaversale.
In particolar modo è interessante cercare di capire da un lato in che modo l’AI potrà supportare e sostenere lo sviluppo del metaverso e dall’altro quali potrebbero essere, allo stato attuale delle nostre conoscenze, i possibili rischi che ne potrebbero derivare e gli impatti per le nostre metaidentità.
Per far questo potremmo, a mio avviso, suddividere il tema intelligenza artificiale in almeno due macrocategorie: quella di contesto e quella relazionale.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La prima – l’AI di contesto -è, in una qualche misura, da considerarsi come strumentale al funzionamento del metaverso. Infatti, per garantire il continuum spazio-temporale proprio del metaverso, uno dei problemi tecnici con cui gli sviluppatori al momento si stanno confrontando riguarda la ricerca delle modalità per ottenere un corretto rendering del contesto all’interno del quale si dovranno muovere le nostre metaidentità, sia in termini di qualità grafica che di tempi di elaborazione.
Tali difficoltà derivano sia dalla qualità della grafica attesa che dalla mole di informazioni che devono essere elaborate simultaneamente dai motori grafici per “renderizzare” gli scenari metaversali.
L’AI potrebbe permettere, attraverso algoritmi di behaviour detection, di anticipare di qualche istante lo scenario prossimo nel quale si troverà la nostra metaidentità e permettere così, in una qualche misura, di bilanciare il carico elaborativo e renderlo sostenibile per le capacità computazionali degli attuali motori grafici.
La seconda – l’AI relazionale – è da intendersi invece nell’accezione che abbiamo imparato a conoscere negli ultimi anni, ossia quella sempre più funzionale e di supporto a processi decisionali, come ad esempio quelli utilizzati dai sistemi di customer care. È quindi quella AI che, se “correttamente” istruita, potrebbe permettere al nostro avatar di avere interazioni allo sportello dell’ufficio relazioni con il pubblico di un municipio o all’accettazione di un poliambulatorio medico.
Fatte queste premesse, e considerando quanto abbiamo già detto sulla quantità e sulla tipologia di nuovi dati che verranno introdotti nel metaverso, è facile dedurre che anche l’utilizzo dell’intelligenza artificiale porterà con sé nuovi rischi e nuovi impatti per le nostre identità digitali.
A mero titolo di esempio, pensiamo ai cosiddetti dati inferiti, di cui abbiamo già parlato, ossia quei dati che un osservatore può desumere dall’analisi delle caratteristiche umane intese come quel complesso di connotati fisici, fisiognomici e comportamentali – azioni, gestualità, movenze e sussulti, anche tra i più involontari e istintivi – che contraddistinguono ogni individuo e che potranno molto probabilmente condurre alla sua individuazione univoca.
L’elaborazione di questi dati da parte di algoritmi di intelligenza artificiale, qualora non correttamente normata, potrebbe portare ad esempio a definire modelli di sorveglianza e profilazione ancora più raffinati di quelli già possibili allo stato attuale delle tecnologie analizzando le espressioni sui volti o le gestualità dei nostri avatar, per non parlare poi dei possibili modelli che potrebbero essere definiti qualora questi algoritmi venissero applicati ai dati sanitari o a quelli riguardanti le nostre emozioni. A tal riguardo, si pensi alla e-skin o ai sensori cardiaci e alla correlata possibilità di fare una trasduzione emozionale dei nostri battiti cardiaci o dell’aumento della temperatura delle nostre mani.
Pertanto, come pocanzi anticipato, anche l’utilizzo sempre più diffuso della AI all’interno del metaverso comporterà un aumento significativo della quantità e tipologia di dati che andranno a comporre la nostra impronta digitale e di conseguenza un incremento delle minacce e dei relativi rischi legati alla gestione dei dati stessi.
Come visto già qualche tempo fa (https://www.redhotcyber.com/post/metasicurezza-un-possibile-approccio-per-lo-studio-del-rischio), il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.
A questo punto, pur nella situazione in divenire descritta, se utilizzassimo ad esempio una metodologia STRIDE[1] like potremmo iniziare a fare una prima modellizzazione delle minacce distinguendo le minacce dirette, riguardanti il gestore delle metaidentità, da quelle indirette, riguardanti le metaidentità stesse.
Ipotizziamo di analizzare uno scenario dove è possibile incontrare avatar, socializzare e comprare oggetti.
Una prima, non esaustiva, matrice Asset/Minacce potrebbe essere la seguente:
| Asset Minaccia | Dati personali | Dati fatturazione | Dati biometrici | Dati “inferiti” | Visore (client) | Visore (server) | Sensori (client) | Sensori (server) | |
| S | Spoofing identity | X | X | X | X | ||||
| T | Tampering with data | X | X | X | X | X | X | ||
| R | Repudiation | X | X | X | X | X | X | ||
| I | Information disclosure | X | X | X | X | X | X | ||
| D | Denial of Service | X | X | X | X | ||||
| E | Elevation of privilege | X | X | X | X |
Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati, questo nuovo contesto ci porta ad introdurne di nuovi.
Nello specifico, per quanto riguarda quella che abbiamo definito l’AI di contesto possiamo considerare almeno l’impatto percettivo, di cui abbiamo già accennato, e che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, un malfunzionamento – indotto o meno – degli algoritmi utilizzati a supporto della renderizzazione dello scenario potrebbe alterare il normale scorrere del tempo, modificare l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure far percepire qualcosa di diverso ai sensori utilizzati per trasmettere una sensazione tattile.
Spostando invece la nostra attenzione sull’AI relazionale, oltre ad una maggiore magnitudo di impatti già noti come quelli derivanti da eventuali metaidentità fake, potremmo introdurre un impatto etico, che rappresenta il danno – che non potrà prescindere dal tema delle responsabilità – derivante dalle decisioni assunte dall’AI. Ossia quei danni che possono derivare, ad esempio, nel caso in cui l’AI sia utilizzata per analisi predittive a supporto delle diagnosi mediche oppure per fornire risposte o pareri che in qualche maniera possono condizionare le opinioni o il pensiero politico dell’interlocutore.
In conclusione, possiamo quindi dire che anche l’introduzione dell’intelligenza artificiale nel metaverso ci porrà davanti a nuovi scenari di rischio che potranno riguardare gli aspetti più intimi e profondi delle nostre metaidentità e che dovremo osservare, analizzare e cercare di interpretare.
[1] STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of Service, Elevation of privilege), le cui categorie corrispondono ai seguenti obiettivi di sicurezza: S -> Autenticazione, T -> Integrità dei dati, R -> Non ripudiabilità, I -> Confidenzialità, D -> Disponibilità, E -> Autorizzazione
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Hacking
Innovazione
Cybercrime
Vulnerabilità