生成式人工智能与安全风险
关键要点
- 生成式人工智能(AI)快速改变了商业运作方式,但同时也带来了显著的安全风险。
- 大多数IT和安全领导者承认,不确定如何应对与生成式AI相关的安全问题。
- 采取适当的安全措施和治理政策是确保安全使用生成式AI的关键。
自2022年11月ChatGPT推出以来,生成式人工智能(AI)迅速占据了世界的关注。这种全新的AI时代,运用了大型语言模型(LLM)将人类语言转换为有用的机器结果,其效果强大非凡。
通过生成式AI,组织能够加速员工收集、整理和沟通信息的能力。它可以在语言相关的琐碎任务中提供更高的自动化,使员工能够专注于带来商业价值的项目。同时,它还能够优化流程,并利用AI的宝贵洞察来更好地做出决策。
这些能力仅仅是冰山一角,因此不难理解,最近的一项调查发现,73%的IT和安全领导者表示,他们的员工在工作中使用生成式AI工具或LLM。这些商业利益无疑是显而易见的。然而,调查结果也表明受访者承认,他们对如何应对与这一技术相关的安全风险感到困惑。
理解风险
关于如何保障生成式AI安全的混乱局面并不令人惊讶。我们在互联网、移动和云等其他技术趋势中看到了类似的模式,在这些情况下,采用的速度远远超过了安全措施的实施。如今,为了保持竞争力,许多组织急于使用生成式AI,而没有考虑安全风险,使安全问题沦为后事。然而,采用此类方法可能会造成灾难性的后果。以下是组织在未设立适当安全防护的情况下使用生成式AI可能面临的一些风险:
风险类型 | 描述
—|—
扩大且不受保护的攻击面 | 攻击者可以更轻松地找到并利用安全漏洞。
可能的知识产权和数据损失 | 与第三方共享敏感信息时可能发生数据泄露。
难以检测的准确性问题 | 一些问题需要工程师进行干预以减轻后果。
员工广泛使用“阴影AI” | 这些行为可能与公司政策不一致。
有限的检测与响应能力 | 大多数情况下,生成式AI应用程序缺乏透明度。
此外,生成式AI显著降低了攻击者的进入门槛。通过使用生成式AI模型,即使是技术背景有限的人也能发起攻击。这种AI还使网络犯罪分子更容易编写恶意代码、扫描和进入网络,以及制作可信的网络钓鱼邮件。因此,组织在防止AI驱动的攻击和员工识别合法与欺诈邮件之间的界限时,面临越来越大的挑战。
无论从商业角度看生成式AI的潜在价值如何,组织也无法忽视这些安全关注。
为安全使用AI设立防护措施
组织应优先考虑安全,以最佳方式利用AI的优势。以下是团队可以立即采取的六个步骤:
- 进行准备评估: 对组织的网络安全准备情况进行全面审查,特别是在部署AI和面对AI驱动的攻击者时。利用这些评估来识别和弥补安全漏洞。
- 实施安全控制和治理: AI的创新速度通常快于监管的步伐,因此组织不应等待政府关于AI的标准。相反,应在内部建立AI使用和保护的政策与控制,协调数据治理、隐私、风险、法律、IT及商业相关部门,涵盖用例、伦理、数据处理、隐私及合法性等主题。一旦建立,创建治理流程以确保员工遵循记录的安全防护措施。即使员工最初意图良好,也需迅速发现合规偏离,以降低使用AI所带来的风险。国家标准与技术研究院(NIST)的和MITRE的ATLAS框架是进行自我治理的良好起点。
- 对AI产品要求高标准: 将新AI技术与其他技术同样对待,保持对新
