面對人工智能安全相關工具、平臺、法規、應用和服務的快速增長，在推出大語言模型十大漏洞TOP10列表后，OWASP近日又推出了AI開源網絡安全知識庫框架——AI Exchange（鏈接在文末），旨在推進全球AI安全標準、法規和知識的開發和共享。

考慮到人工智能環境安全防御的復雜性，AI Exchange的導航器可幫助用戶快速查詢包括各種威脅、漏洞和控制的有用資源。

AI Exchange導航器界面

OWASP AI Exchange還率先提出了一些通用AI安全建議，包括實施人工智能治理、將安全和開發實踐擴展到數據科學以及根據人工智能的具體用例。

覆蓋AI威脅、攻擊面、生命周期和資產的AI安全矩陣

黑客攻擊人工智能的方式有很多，并且涌現了很多新威脅，例如數據泄露、數據中毒，甚至對人工智能供應鏈的攻擊。以下是AI Exchange給出的AI安全威脅與控制措施的威脅模型圖：

AI威脅與控制模型圖來源：OWASP

總之，AI Exchange為企業提供了一種全面的方法來識別AI相關威脅和對應的控制措施。首先通過威脅建模等方法識別威脅，確定企業內部應對威脅的責任，以及評估服務提供商、軟件和供應商等外部因素。

然后，AIExchange框架會引導企業選擇合適的威脅緩解措施，并將這些控制措施與現有和新興標準交叉引用。遵循這些步驟，企業將能對AI風險的持續監控和維護做出明智決策。

與其他軟件系統非常相似，人工智能系統開發也遵循生命周期，因此AIExchange建議企業遵循NIST的安全軟件開發框架（SSDF），在人工智能軟件開發生命周期(SDLC)的各個階段進行安全防護，包括安全設計、開發、部署以及操作和維護。