企業(yè)不應(yīng)回避利用AI工具，但需要找到最大化效率和緩解企業(yè)風(fēng)險(xiǎn)之間的平衡點(diǎn)。他們需要做到以下幾點(diǎn)：

制定無縫的AI安全政策

以往，AI可能只是開發(fā)人員或?qū)＜医换サ募夹g(shù)，但如今，公司各層級(jí)的員工都使用AI來協(xié)助他們完成各種任務(wù)。因此，企業(yè)必須教育所有員工，讓他們了解哪些大型語言模型和智能體應(yīng)用程序是他們被授權(quán)使用的，以及他們可以與這些系統(tǒng)共享哪些類型的數(shù)據(jù)。

公司要安全地部署和利用這項(xiàng)技術(shù)，制定一個(gè)明確的安全政策至關(guān)重要。這項(xiàng)技術(shù)將繼續(xù)快速發(fā)展和創(chuàng)新，賦予自動(dòng)化和機(jī)器在企業(yè)決策中更大的權(quán)力，而公司的第一道防線就是一個(gè)清晰、易懂的AI政策，讓整個(gè)公司都了解并遵守。

執(zhí)行安全政策也意味著為企業(yè)定義可接受的風(fēng)險(xiǎn)評(píng)級(jí)，以及隨著環(huán)境變化重新確定風(fēng)險(xiǎn)評(píng)級(jí)的優(yōu)先級(jí)。

總會(huì)有錯(cuò)誤和誤報(bào)。不同的企業(yè)根據(jù)其運(yùn)營(yíng)和數(shù)據(jù)敏感性，有不同的風(fēng)險(xiǎn)承受能力或不同的解釋。

企業(yè)必須牢記，安全政策的目標(biāo)不是打斷員工的工作流程或使其難以遵守，而是最終保護(hù)企業(yè)和其客戶。安全政策越是無縫銜接，公司內(nèi)部人員就越不可能為了利用AI創(chuàng)新而繞過它們。

確保開發(fā)人員具備安全編碼知識(shí)

除了圍繞AI的使用制定明確的安全政策外，公司還必須考慮其開發(fā)人員使用新的AI工具和智能體來幫助他們更快編寫代碼的愿望。在這種情況下，公司必須確保其安全團(tuán)隊(duì)已經(jīng)測(cè)試了這些潛在的AI工具，并且他們的開發(fā)人員已經(jīng)接受了安全編碼培訓(xùn)，具備對(duì)常見漏洞、安全設(shè)計(jì)原則和軟件功能安全實(shí)現(xiàn)的廣泛知識(shí)，并且要不斷提升自己。

開發(fā)人員擁有這樣的知識(shí)可能是阻止漏洞在生產(chǎn)環(huán)境中發(fā)生的關(guān)鍵，也是保護(hù)企業(yè)免受可能因AI采用增加而產(chǎn)生的潛在漏洞和惡意攻擊的關(guān)鍵。

然而，現(xiàn)實(shí)是，只有少數(shù)開發(fā)人員在大學(xué)或?qū)W院環(huán)境中學(xué)習(xí)，而且，即使在美國(guó)排名前50的本科計(jì)算機(jī)科學(xué)課程中，也沒有一門課程要求主修生學(xué)習(xí)安全代碼或應(yīng)用程序安全。

開發(fā)人員需要具備超越基本編碼知識(shí)的安全編碼思維方式。開發(fā)人員編寫的代碼需要清晰、優(yōu)雅且安全。如果不是這樣，那么編寫的代碼就會(huì)受到攻擊。因此，由行業(yè)推動(dòng)的安全編碼培訓(xùn)是必不可少的，并且必須融入企業(yè)的文化中，尤其是在當(dāng)前技術(shù)裁員加劇已經(jīng)普遍存在的應(yīng)用程序安全困境的時(shí)代。

此培訓(xùn)應(yīng)：

超越“勾選框”式的意識(shí)

一次性教育計(jì)劃已經(jīng)不夠了;教育必須是一個(gè)不斷發(fā)展的過程，以更好地理解和做出架構(gòu)決策。它永遠(yuǎn)都不應(yīng)是一種“一次性”的“勾選框”方法，而是一個(gè)持續(xù)的過程。在這個(gè)惡意智能體快速發(fā)展、零日漏洞頻發(fā)以及供應(yīng)鏈融入越來越多復(fù)雜元素的時(shí)代，教育必須與安全威脅同步發(fā)展，以賦予團(tuán)隊(duì)當(dāng)前的知識(shí)。

設(shè)定可衡量的目標(biāo)

為了確保任何培訓(xùn)計(jì)劃都能成功，重要的是要收集可用于衡量進(jìn)度的信息。例如，這可能是培訓(xùn)前后開發(fā)人員代碼中出現(xiàn)的漏洞數(shù)量。

隨著開發(fā)人員通過培訓(xùn)不斷進(jìn)步，提供反饋有助于激勵(lì)他們改進(jìn)，并確保員工繼續(xù)參與其安全倡導(dǎo)者計(jì)劃。提供有形的報(bào)告也有助于獲得利益相關(guān)者的支持和認(rèn)可。通過分享已證實(shí)的成功，安全培訓(xùn)就不必再不斷向董事會(huì)辯護(hù)。

保持相關(guān)性

重要的是，培訓(xùn)要根據(jù)開發(fā)人員日常的問題和工作流程進(jìn)行調(diào)整，使用他們相關(guān)的編程語言，并針對(duì)他們?cè)谄髽I(yè)中的具體角色。如果教育過于先進(jìn)、過于基礎(chǔ)或與開發(fā)人員每天使用的語言和問題無關(guān)，那么它將不會(huì)引起共鳴。更重要的是，必須為開發(fā)人員提供上下文——不僅僅是解決方案是什么，還有為什么它很重要。

激勵(lì)安全方面的成功

企業(yè)應(yīng)該為那些在日常工作中始終遵循安全最佳實(shí)踐的人提供獎(jiǎng)勵(lì)和激勵(lì)。這些不必是金錢獎(jiǎng)勵(lì)，而是最適合公司業(yè)務(wù)文化的獎(jiǎng)勵(lì)。然后，這些安全“倡導(dǎo)者”可以樹立榜樣、吸引他人，并有機(jī)地推動(dòng)變革。