你的公司已經開始使用人工智能(AI)了，但是你是否有效地控制了人工智能所涉及的風險?人工智能是一個新的增長渠道，有可能提高生產力和改善客戶服務。但是，你需要評估涉及到網絡安全的風險管理。首先，你在考慮人工智能趨勢的時候就應該把風險納入其中。

[[271993]]

為什么人工智能成為一種新的網絡安全威脅?

人工智能現在是一個蓬勃發展的行業，大型企業、研究人員和創業公司都在努力充分利用這一趨勢。從網絡安全的角度來看，關注人工智能有幾個理由，你的威脅評估模型需要根據以下發展情況進行更新。

早期人工智能可能制造一種虛假的安全感

目前生產中的大多數機器學習方法都會要求用戶提供訓練數據集。有了這些數據，應用就可以做出更好的預測。但是，在確定這些數據集要包含哪些數據方面，最終用戶的判斷是一種重要因素。如果黑客發現了監督過程的運作模式，那么這種監督式學習方法就會受到影響。實際上，黑客可以通過模仿安全代碼來逃避機器學習的檢測。

基于人工智能的網絡安全為人類帶來了更多工作機會

很少有企業愿意依賴機器提供的安全性。因此，網絡安全領域的機器學習可以給人類帶來了更多的工作機會。WIRED雜志總結了如下：“機器學習最常見的角色是附加的，它就像是一個哨兵，而不是萬能的。”人工智能和機器學習工具會標記出需要審查問題，隨著這些問題越來越多，人類分析師就需要對這些數據進行審查，從而做出下一步決定。

黑客們開始使用人工智能展開攻擊

與任何技術一樣，人工智能可用于防御，或者攻擊。史蒂文斯理工學院的研究人員證明了這一事實，他們在2017年分析了4300萬用戶檔案后，使用人工智能成功地猜出了27%的用戶LinkedIn密碼。在防御者手中，這樣的工具可以幫助警示最終用戶他們的密碼設置較弱，而在攻擊者手中，這樣的工具就是一種安全威脅。

需要了解的常見錯誤

如果避免了以下錯誤，你就有可能在企業組織中成功地使用人工智能技術。

1. 沒有周全地考慮過可解釋性所帶來的挑戰

當你使用人工智能的時候，你是否能夠解釋它的運作和建議方式嗎?如果不能，你就很可能接受(或者拒絕)人工智能的建議而無法對其進行評估。通過對人工智能提出的建議進行逆向設計，可以克服這一挑戰。

2. 在不了解廠商模式的情況下使用他們提供的人工智能

一些企業決定從外部購買人工智能或者購買許可，而不是自己內部開發人工智能技術。這種方法與任何戰略決策一樣都存在著缺點，你無法信任廠商的建議。你需要就系統如何保護數據以及人工智能工具可以訪問哪些系統提出詳細的問題，要求廠商解釋他們對數據和機器學習的假設，可以解決這一挑戰。

3. 沒有單獨測試人工智能的安全性

當你使用人工智能或者機器學習工具的時候，你需要將大量數據輸入進去。這就需要你信任該系統，所以你必須從網絡安全的角度對該系統進行測試。例如，考慮是否可以通過SQL注入或者其他黑客技術入侵到系統中。如果黑客可以破壞人工智能系統中的算法或者數據，那么企業決策的質量就會受到影響。

4. 企業組織缺乏人工智能網絡安全技能

要進行人工智能的網絡安全測試和評估，你就需要技能熟練的員工。遺憾的是，很少有網絡專業人員能夠勝任這個工作。所幸的是，人才發展計劃可以解決這個問題。你可以為企業的網絡安全專業人士提供獲取證書、參加會議、使用其他資源來豐富人工智能知識的機會。

5. 出于安全性的考慮而完全忽略人工智能

上面這些常見錯誤可能會讓你覺得完全避免使用人工智能和機器學習是個明智之舉。這可能是十年前的做法，而如今人工智能和機器學習已經滲透到你工作所使用的每個工具中了。忽略這個趨勢以最大限度降低風險，只會讓你的企業組織面臨更大的風險，還不如主動地去尋找利用人工智能的解決方案。例如，你可以使用安全聊天機器人更便捷地為你的員工提供安全性。

6. 對于通過人工智能實現轉型的期待太高

以不合理的期望值而開始實施人工智能將會導致安全性和生產力方面的問題，不要試圖用人工智能解決企業組織中的所有業務問題。從安全角度來看，如此廣泛的實施將非常難以把控。相反，你應該采用低風險的方法：一次將人工智能應用于一個領域，例如自動執行常規安全管理任務，然后逐漸擴大范圍。

7. 不愿意把真實的數據交給人工智能解決方案

大多數開發人員和技術人員喜歡通過設置測試環境來降低風險。這是一個很好的原則，值得使用。但是用于人工智能的時候，這種方法就有它的局限性了。要了解你的人工智能系統是否真正安全，你就需要提供真實的數據：客戶信息、財務數據或者其他內容。如果所有這些信息你都不愿意交出來，那么你就永遠無法評估采用人工智能的安全風險或者生產力優勢。

以全開放視角采用人工智能

在企業中使用人工智能肯定存在著危險和風險。但是，可以通過培訓、主動管理監督和避免這七個錯誤來把控這些風險。