生成人工智能 (gen AI ) 技術(shù)的快速崛起為全球各行各業(yè)帶來(lái)了變革時(shí)代。在過(guò)去 18 個(gè)月中，企業(yè)越來(lái)越多地將 gen AI 融入其運(yùn)營(yíng)中，利用其潛力來(lái)創(chuàng)新和簡(jiǎn)化流程。從自動(dòng)化客戶服務(wù)到增強(qiáng)產(chǎn)品開(kāi)發(fā)，gen AI 的應(yīng)用范圍廣泛且影響深遠(yuǎn)。根據(jù)IBM 最近的一份報(bào)告，大約 42% 的大型企業(yè)已經(jīng)采用了AI，該技術(shù)能夠自動(dòng)化銷(xiāo)售、營(yíng)銷(xiāo)、財(cái)務(wù)和客戶服務(wù)等各個(gè)領(lǐng)域高達(dá) 30% 的知識(shí)工作活動(dòng)。

然而，加速采用新一代人工智能也帶來(lái)了重大風(fēng)險(xiǎn)，例如不準(zhǔn)確性、知識(shí)產(chǎn)權(quán)問(wèn)題和網(wǎng)絡(luò)安全威脅。當(dāng)然，這只是一系列采用云計(jì)算等新技術(shù)的企業(yè)中的一個(gè)例子，后來(lái)才意識(shí)到從一開(kāi)始就應(yīng)該優(yōu)先考慮納入安全原則。現(xiàn)在，我們可以從過(guò)去的失誤中吸取教訓(xùn)，在開(kāi)發(fā)基于新一代人工智能的企業(yè)應(yīng)用程序時(shí)盡早采用安全設(shè)計(jì)原則。

云轉(zhuǎn)型熱潮中的經(jīng)驗(yàn)教訓(xùn)

近期的云應(yīng)用浪潮為在任何技術(shù)轉(zhuǎn)型早期優(yōu)先考慮安全性提供了寶貴的見(jiàn)解。許多組織采用云技術(shù)是為了降低成本、提高可擴(kuò)展性和災(zāi)難恢復(fù)等好處。然而，急于獲得這些好處往往導(dǎo)致安全疏忽，導(dǎo)致因配置錯(cuò)誤而發(fā)生引人注目的泄露事件。下圖顯示了這些配置錯(cuò)誤的影響。它按初始攻擊媒介說(shuō)明了數(shù)據(jù)泄露的成本和頻率，其中云配置錯(cuò)誤的平均成本高達(dá) 398 萬(wàn)美元：

圖片

圖 1：以百萬(wàn)美元計(jì)；占所有泄露事件的百分比（IBM 2024 年數(shù)據(jù)泄露成本報(bào)告）

2023 年發(fā)生了一起值得注意的事件：一個(gè)配置錯(cuò)誤的云存儲(chǔ)桶泄露了多家公司的敏感數(shù)據(jù)，包括電子郵件地址和社會(huì)安全號(hào)碼等個(gè)人信息。這次泄露事件凸顯了不當(dāng)云存儲(chǔ)配置帶來(lái)的風(fēng)險(xiǎn)以及聲譽(yù)受損造成的財(cái)務(wù)影響。

同樣，2023 年，企業(yè)工作區(qū)軟件即服務(wù) (SaaS) 應(yīng)用程序中的漏洞導(dǎo)致了一次重大數(shù)據(jù)泄露，其中通過(guò)不安全的帳戶獲得了未經(jīng)授權(quán)的訪問(wèn)。這揭示了賬戶管理和監(jiān)控不足的影響。這些事件以及許多其他事件（記錄在最近發(fā)布的IBM 2024 年數(shù)據(jù)泄露成本報(bào)告中）強(qiáng)調(diào)了安全設(shè)計(jì)方法的迫切需要，確保安全措施從一開(kāi)始就成為這些 AI 采用計(jì)劃不可或缺的一部分。

人工智能轉(zhuǎn)型計(jì)劃需要盡早采取安全措施

隨著企業(yè)迅速將新一代人工智能融入其運(yùn)營(yíng)，從一開(kāi)始就解決安全問(wèn)題的重要性怎么強(qiáng)調(diào)也不為過(guò)。人工智能技術(shù)雖然具有變革性，但也帶來(lái)了新的安全漏洞。最近與人工智能平臺(tái)相關(guān)的漏洞證明了這些風(fēng)險(xiǎn)及其對(duì)企業(yè)的潛在影響。

以下是過(guò)去幾個(gè)月中與人工智能相關(guān)的安全漏洞的一些示例：

1. Deepfake 詐騙：在一個(gè)案例中，一家英國(guó)能源公司的首席執(zhí)行官被騙轉(zhuǎn)賬 243,000 美元，他以為自己正在與老板交談。該騙局利用了Deepfake技術(shù)，凸顯了人工智能驅(qū)動(dòng)欺詐的可能性。

2. 數(shù)據(jù)中毒攻擊：攻擊者可以通過(guò)在訓(xùn)練期間引入惡意數(shù)據(jù)來(lái)破壞人工智能模型，從而導(dǎo)致錯(cuò)誤輸出。當(dāng)一家網(wǎng)絡(luò)安全公司的機(jī)器學(xué)習(xí)模型受到攻擊時(shí)，就出現(xiàn)了這種情況，導(dǎo)致威脅響應(yīng)延遲。

3. 人工智能模型漏洞：聊天機(jī)器人等人工智能應(yīng)用中的漏洞已導(dǎo)致許多未經(jīng)授權(quán)訪問(wèn)敏感數(shù)據(jù)的事件。這些漏洞凸顯了人工智能接口周?chē)枰扇?qiáng)有力的安全措施。

人工智能安全漏洞的商業(yè)影響

人工智能安全漏洞的后果是多方面的：

• 財(cái)務(wù)損失：違規(guī)行為可能導(dǎo)致直接財(cái)務(wù)損失以及與緩解措施相關(guān)的重大成本
• 運(yùn)營(yíng)中斷：數(shù)據(jù)中毒和其他攻擊可能會(huì)擾亂運(yùn)營(yíng)，導(dǎo)致錯(cuò)誤決策和延遲應(yīng)對(duì)威脅
• 聲譽(yù)損害：違規(guī)行為可能損害公司的聲譽(yù)，削弱客戶信任和市場(chǎng)份額

隨著企業(yè)迅速采用面向客戶的應(yīng)用程序來(lái)采用新一代人工智能技術(shù)，采取結(jié)構(gòu)化的方法來(lái)保護(hù)這些技術(shù)非常重要，這樣可以降低企業(yè)業(yè)務(wù)被網(wǎng)絡(luò)對(duì)手中斷的風(fēng)險(xiǎn)。

確保人工智能應(yīng)用安全的三管齊下方法

為了有效地保護(hù)新一代人工智能應(yīng)用，企業(yè)應(yīng)采用涵蓋整個(gè)人工智能生命周期的全面安全策略。有三個(gè)關(guān)鍵階段：

1. 數(shù)據(jù)收集和處理：確保數(shù)據(jù)的安全收集和處理，包括加密和嚴(yán)格的訪問(wèn)控制。

2. 模型開(kāi)發(fā)和訓(xùn)練：在人工智能模型的開(kāi)發(fā)、訓(xùn)練和微調(diào)過(guò)程中實(shí)施安全實(shí)踐，以防止數(shù)據(jù)中毒和其他攻擊。

3. 模型推理和實(shí)時(shí)使用：實(shí)時(shí)監(jiān)控人工智能系統(tǒng)并確保持續(xù)的安全評(píng)估，以檢測(cè)和減輕潛在威脅。

這三個(gè)階段應(yīng)該與典型的基于云的 AI 平臺(tái)的共享責(zé)任模型一起考慮（如下所示）。

圖 2：安全使用新一代人工智能——責(zé)任共擔(dān)矩陣

在IBM 生成式人工智能安全框架中，您可以找到這三個(gè)階段和要遵循的安全原則的詳細(xì)描述。它們與運(yùn)行大型語(yǔ)言模型和應(yīng)用程序的底層基礎(chǔ)設(shè)施層的云安全控制相結(jié)合。

圖 3：IBM 生成式 AI 安全框架

平衡發(fā)展與安全

向新一代人工智能的過(guò)渡使企業(yè)能夠推動(dòng)其業(yè)務(wù)應(yīng)用程序的創(chuàng)新，自動(dòng)執(zhí)行復(fù)雜任務(wù)并提高效率、準(zhǔn)確性和決策能力，同時(shí)降低成本并提高業(yè)務(wù)流程的速度和靈活性。

從云采用浪潮中可以看出，從一開(kāi)始就優(yōu)先考慮安全性至關(guān)重要。通過(guò)盡早將安全措施納入 AI 采用流程，企業(yè)可以將過(guò)去的失誤轉(zhuǎn)化為關(guān)鍵里程碑，并保護(hù)自己免受復(fù)雜的網(wǎng)絡(luò)威脅。這種主動(dòng)方法可確保遵守快速發(fā)展的 AI 監(jiān)管要求，保護(hù)企業(yè)及其客戶的敏感數(shù)據(jù)并維護(hù)利益相關(guān)者的信任。這樣，企業(yè)就可以安全且可持續(xù)地實(shí)現(xiàn)其 AI 戰(zhàn)略目標(biāo)。

原文鏈接：https://securityintelligence.com/posts/how-to-embrace-secure-by-design-while-adopting-ai/