生成人工智能 (gen AI ) 技術(shù)的快速崛起為全球各行各業(yè)帶來了變革時代。在過去 18 個月中，企業(yè)越來越多地將 gen AI 融入其運營中，利用其潛力來創(chuàng)新和簡化流程。從自動化客戶服務(wù)到增強產(chǎn)品開發(fā)，gen AI 的應(yīng)用范圍廣泛且影響深遠。根據(jù)IBM 最近的一份報告，大約 42% 的大型企業(yè)已經(jīng)采用了AI，該技術(shù)能夠自動化銷售、營銷、財務(wù)和客戶服務(wù)等各個領(lǐng)域高達 30% 的知識工作活動。

然而，加速采用新一代人工智能也帶來了重大風(fēng)險，例如不準(zhǔn)確性、知識產(chǎn)權(quán)問題和網(wǎng)絡(luò)安全威脅。當(dāng)然，這只是一系列采用云計算等新技術(shù)的企業(yè)中的一個例子，后來才意識到從一開始就應(yīng)該優(yōu)先考慮納入安全原則。現(xiàn)在，我們可以從過去的失誤中吸取教訓(xùn)，在開發(fā)基于新一代人工智能的企業(yè)應(yīng)用程序時盡早采用安全設(shè)計原則。

云轉(zhuǎn)型熱潮中的經(jīng)驗教訓(xùn)

近期的云應(yīng)用浪潮為在任何技術(shù)轉(zhuǎn)型早期優(yōu)先考慮安全性提供了寶貴的見解。許多組織采用云技術(shù)是為了降低成本、提高可擴展性和災(zāi)難恢復(fù)等好處。然而，急于獲得這些好處往往導(dǎo)致安全疏忽，導(dǎo)致因配置錯誤而發(fā)生引人注目的泄露事件。下圖顯示了這些配置錯誤的影響。它按初始攻擊媒介說明了數(shù)據(jù)泄露的成本和頻率，其中云配置錯誤的平均成本高達 398 萬美元：

圖片

圖 1：以百萬美元計；占所有泄露事件的百分比（IBM 2024 年數(shù)據(jù)泄露成本報告）

2023 年發(fā)生了一起值得注意的事件：一個配置錯誤的云存儲桶泄露了多家公司的敏感數(shù)據(jù)，包括電子郵件地址和社會安全號碼等個人信息。這次泄露事件凸顯了不當(dāng)云存儲配置帶來的風(fēng)險以及聲譽受損造成的財務(wù)影響。

同樣，2023 年，企業(yè)工作區(qū)軟件即服務(wù) (SaaS) 應(yīng)用程序中的漏洞導(dǎo)致了一次重大數(shù)據(jù)泄露，其中通過不安全的帳戶獲得了未經(jīng)授權(quán)的訪問。這揭示了賬戶管理和監(jiān)控不足的影響。這些事件以及許多其他事件（記錄在最近發(fā)布的IBM 2024 年數(shù)據(jù)泄露成本報告中）強調(diào)了安全設(shè)計方法的迫切需要，確保安全措施從一開始就成為這些 AI 采用計劃不可或缺的一部分。

人工智能轉(zhuǎn)型計劃需要盡早采取安全措施

隨著企業(yè)迅速將新一代人工智能融入其運營，從一開始就解決安全問題的重要性怎么強調(diào)也不為過。人工智能技術(shù)雖然具有變革性，但也帶來了新的安全漏洞。最近與人工智能平臺相關(guān)的漏洞證明了這些風(fēng)險及其對企業(yè)的潛在影響。

以下是過去幾個月中與人工智能相關(guān)的安全漏洞的一些示例：

1. Deepfake 詐騙：在一個案例中，一家英國能源公司的首席執(zhí)行官被騙轉(zhuǎn)賬 243,000 美元，他以為自己正在與老板交談。該騙局利用了Deepfake技術(shù)，凸顯了人工智能驅(qū)動欺詐的可能性。

2. 數(shù)據(jù)中毒攻擊：攻擊者可以通過在訓(xùn)練期間引入惡意數(shù)據(jù)來破壞人工智能模型，從而導(dǎo)致錯誤輸出。當(dāng)一家網(wǎng)絡(luò)安全公司的機器學(xué)習(xí)模型受到攻擊時，就出現(xiàn)了這種情況，導(dǎo)致威脅響應(yīng)延遲。

3. 人工智能模型漏洞：聊天機器人等人工智能應(yīng)用中的漏洞已導(dǎo)致許多未經(jīng)授權(quán)訪問敏感數(shù)據(jù)的事件。這些漏洞凸顯了人工智能接口周圍需要采取強有力的安全措施。

人工智能安全漏洞的商業(yè)影響

人工智能安全漏洞的后果是多方面的：

• 財務(wù)損失：違規(guī)行為可能導(dǎo)致直接財務(wù)損失以及與緩解措施相關(guān)的重大成本
• 運營中斷：數(shù)據(jù)中毒和其他攻擊可能會擾亂運營，導(dǎo)致錯誤決策和延遲應(yīng)對威脅
• 聲譽損害：違規(guī)行為可能損害公司的聲譽，削弱客戶信任和市場份額

隨著企業(yè)迅速采用面向客戶的應(yīng)用程序來采用新一代人工智能技術(shù)，采取結(jié)構(gòu)化的方法來保護這些技術(shù)非常重要，這樣可以降低企業(yè)業(yè)務(wù)被網(wǎng)絡(luò)對手中斷的風(fēng)險。

確保人工智能應(yīng)用安全的三管齊下方法

為了有效地保護新一代人工智能應(yīng)用，企業(yè)應(yīng)采用涵蓋整個人工智能生命周期的全面安全策略。有三個關(guān)鍵階段：

1. 數(shù)據(jù)收集和處理：確保數(shù)據(jù)的安全收集和處理，包括加密和嚴(yán)格的訪問控制。

2. 模型開發(fā)和訓(xùn)練：在人工智能模型的開發(fā)、訓(xùn)練和微調(diào)過程中實施安全實踐，以防止數(shù)據(jù)中毒和其他攻擊。

3. 模型推理和實時使用：實時監(jiān)控人工智能系統(tǒng)并確保持續(xù)的安全評估，以檢測和減輕潛在威脅。

這三個階段應(yīng)該與典型的基于云的 AI 平臺的共享責(zé)任模型一起考慮（如下所示）。

圖 2：安全使用新一代人工智能——責(zé)任共擔(dān)矩陣

在IBM 生成式人工智能安全框架中，您可以找到這三個階段和要遵循的安全原則的詳細(xì)描述。它們與運行大型語言模型和應(yīng)用程序的底層基礎(chǔ)設(shè)施層的云安全控制相結(jié)合。

圖 3：IBM 生成式 AI 安全框架

平衡發(fā)展與安全

向新一代人工智能的過渡使企業(yè)能夠推動其業(yè)務(wù)應(yīng)用程序的創(chuàng)新，自動執(zhí)行復(fù)雜任務(wù)并提高效率、準(zhǔn)確性和決策能力，同時降低成本并提高業(yè)務(wù)流程的速度和靈活性。

從云采用浪潮中可以看出，從一開始就優(yōu)先考慮安全性至關(guān)重要。通過盡早將安全措施納入 AI 采用流程，企業(yè)可以將過去的失誤轉(zhuǎn)化為關(guān)鍵里程碑，并保護自己免受復(fù)雜的網(wǎng)絡(luò)威脅。這種主動方法可確保遵守快速發(fā)展的 AI 監(jiān)管要求，保護企業(yè)及其客戶的敏感數(shù)據(jù)并維護利益相關(guān)者的信任。這樣，企業(yè)就可以安全且可持續(xù)地實現(xiàn)其 AI 戰(zhàn)略目標(biāo)。

原文鏈接：https://securityintelligence.com/posts/how-to-embrace-secure-by-design-while-adopting-ai/