亞馬遜云科技在全球擁有數(shù)百萬客戶，每天追蹤的事件達(dá)數(shù)十億條，這讓亞馬遜云科技能檢測到更多的安全威脅。

在2019年亞馬遜云科技首席安全官Steve Schmidt正式宣布推出首個(gè)聚焦云安全問題的會議亞馬遜云科技re:Inforce，現(xiàn)在大會已經(jīng)舉辦五屆，成為云安全的風(fēng)向標(biāo)。

Steve Schmidt在2010年加入亞馬遜，并在亞馬遜云科技首席信息安全官任職長達(dá)12年，2022年起就任亞馬遜首席安全官至今。最近他接受了《華爾街日報(bào)》關(guān)于生成式AI時(shí)代下的企業(yè)安全的訪談。

Steve Schmidt說，安全團(tuán)隊(duì)的工作是幫助企業(yè)了解生成式AI等創(chuàng)新技術(shù)的好處和風(fēng)險(xiǎn)，以及如何利用它來提升企業(yè)的安全效率。

亞馬遜云科技首席安全官Steve Schmidt

生成式AI安全，企業(yè)要問三個(gè)問題

生成式AI在融入業(yè)務(wù)的同時(shí)也在融入企業(yè)的安全當(dāng)中，Steve Schmidt認(rèn)為任何企業(yè)在談及使用生成式AI的安全問題時(shí)，都必須問自己三個(gè)問題：

第一，數(shù)據(jù)在哪里？

企業(yè)需要知道用數(shù)據(jù)訓(xùn)練模型的整個(gè)工作流程中，這些數(shù)據(jù)來自哪里，以及是如何被處理和保護(hù)。

第二，我的查詢和任何相關(guān)數(shù)據(jù)會發(fā)生什么？

訓(xùn)練數(shù)據(jù)并不是企業(yè)需要關(guān)注的唯一敏感數(shù)據(jù)集，當(dāng)企業(yè)及其用戶開始使用生成式AI和大型語言模型時(shí),他們很快就會掌握如何讓查詢更有效。之后會在查詢中添加更多細(xì)節(jié)和具體要求，從而獲得更好的結(jié)果。企業(yè)使用生成式AI進(jìn)行查詢需要清楚知道生成式AI會如何處理輸入進(jìn)模型的數(shù)據(jù)以及查詢結(jié)果。企業(yè)查詢本身也是敏感的，應(yīng)該成為數(shù)據(jù)保護(hù)計(jì)劃的一部分。

第三，生成式AI模型的輸出是否足夠準(zhǔn)確？

從安全角度來看，生成式AI的使用場景定義了風(fēng)險(xiǎn)，不同的場景對準(zhǔn)確度的要求是不同的。如果你正在使用大型語言模型來生成定制代碼，那么你就必須要確認(rèn)這個(gè)代碼是否寫得足夠好，是否遵循了你的最佳實(shí)踐等等。

在了解了使用生成式AI的安全問題之后，Steve Smith還給出了利用生成式AI進(jìn)行創(chuàng)新的三條安全建議：

第一，安全團(tuán)隊(duì)說“不”很容易，但不是正確的做法。培訓(xùn)內(nèi)部員工了解公司關(guān)于使用人工智能的政策幫助安全地使用。指導(dǎo)員工使用符合公司人工智能使用政策的方式。對于安全團(tuán)隊(duì)來說，說“不”很容易，但對于所有業(yè)務(wù)團(tuán)隊(duì)、開發(fā)人員等來說，繞過安全團(tuán)隊(duì)也同樣容易。

第二，可見性。企業(yè)需要通過可見性的工具來了解員工如何使用數(shù)據(jù)，限制在工作需求之外的數(shù)據(jù)訪問，會監(jiān)控他們?nèi)绾问褂猛獠糠?wù)訪問這些數(shù)據(jù)。如果發(fā)現(xiàn)有不符合政策的情況發(fā)生，例如在涉及到非工作需求之外的敏感數(shù)據(jù)訪問，會停止這種行為。在其他情況下，如果員工使用的數(shù)據(jù)不太敏感，但是可能會違反政策，會主動聯(lián)系員工去了解真實(shí)目的并尋求解決之道。

第三，通過機(jī)制解決問題。機(jī)制是可重復(fù)使用的工具，允許企業(yè)隨著時(shí)間的流失精確地驅(qū)動特定的行為。例如，當(dāng)員工違規(guī)操作時(shí)，系統(tǒng)會通過如彈窗來提示員工，并建議使用特定的內(nèi)部工具，并就相關(guān)問題進(jìn)行報(bào)告。

為安全服務(wù)提供生成式AI能力

安全一直是亞馬遜云科技的最高優(yōu)先級，Steve Schmidt也是亞馬遜安全文化的踐行者和倡導(dǎo)者之一。

“安全團(tuán)隊(duì)要利用開箱即用的生成式AI應(yīng)用，從代碼階段推動安全行業(yè)升級，對任何企業(yè)包括亞馬遜都是如此?！边@是Steve Schmidt對生成式AI提出的建議。

因?yàn)槔蒙墒紸I提升安全代碼的編寫工作能夠有效地推動整個(gè)行業(yè)進(jìn)入更高級別的安全領(lǐng)域。

Amazon CodeWhisperer代碼助手以及新型生成式AI助手Amazon Q，都可以幫助企業(yè)生成更好的代碼或在軟件工程師編寫代碼時(shí)直接提供建議。

Amazon CodeWhisperer是具有內(nèi)置安全掃描功能的AI編碼助手，能夠幫助開發(fā)者基于注釋生成代碼，追蹤開源參考，掃描查找漏洞，同時(shí)對個(gè)人開發(fā)者免費(fèi)。它還提供定制化功能，允許企業(yè)安全地將CodeWhisperer連接到企業(yè)內(nèi)部代碼存儲，以提升CodeWhisperer的效果，加快開發(fā)任務(wù)的完成速度。

Amazon Q可以在Amazon CodeWhisperer中回答開發(fā)人員的各種代碼相關(guān)的問題并附上可一鍵實(shí)施的代碼，并提供代碼轉(zhuǎn)換功能，以幫助開發(fā)者大幅減少應(yīng)用程序維護(hù)和升級所需的繁瑣工作，將所需的時(shí)間從幾天縮短至幾分鐘。

同時(shí)，亞馬遜云科技2023 re:Invent全球大會上，亞馬遜云科技也推出了具有生成式AI能力的安全服務(wù)能力。

Amazon Inspector的Amazon Lambda函數(shù)代碼掃描功能現(xiàn)在能夠利用生成式AI和自動推理實(shí)現(xiàn)代碼修復(fù)。此前的掃描功能能夠突出顯示問題代碼的位置、潛在影響并提供建議，現(xiàn)在生成式AI同能夠?yàn)槎喾N類別的漏洞創(chuàng)建與情境相關(guān)的代碼補(bǔ)丁。開發(fā)者可以快速進(jìn)行驗(yàn)證和代碼替換等操作，從而快速有效地解決問題。

Amazon Detective現(xiàn)在能夠使用生成式AI提供調(diào)查發(fā)現(xiàn)組摘要，生成式AI可以自動分析調(diào)查發(fā)現(xiàn)組并以自然語言提供洞察，加快進(jìn)行安全調(diào)查。Amazon Detective服務(wù)的目的是讓用戶更輕松地分析、調(diào)查和快速確定潛在安全問題或可疑活動的根本原因。新的生成式AI能力能夠?yàn)樘囟ㄓ脩籼峁└鼜V泛的安全視角和更多的安全知識。

最近，亞馬遜云科技與英偉達(dá)最新聯(lián)合發(fā)布中也談到，GB200將受益于Amazon Nitro系統(tǒng)增強(qiáng)的安全性，在客戶端和云端全程保護(hù)客戶的代碼和數(shù)據(jù)在處理過程中的安全。

Steve Schmidt說，問題不在于安全團(tuán)隊(duì)自身想要做什么，而在于確保我們始終幫助我們的客戶團(tuán)隊(duì)、內(nèi)部團(tuán)隊(duì)，朝著他們的目標(biāo)向前邁進(jìn)。