AI安全的頭等大事:建立AI資產清單
隨著人工智能(AI)技術的迅猛發展,企業首席信息安全官(CISOs)正面臨前所未有的挑戰,既要滿足企業業務快速邁向智能化的需求,同時又要防御爆炸式增長的AI安全威脅。
風靡全球的DeepSeek只是AI工具潮的一朵浪花,未來還將有更多類似工具快速涌現。這些未經授權的(消費級)AI應用如同一顆顆定時炸彈,潛伏在企業內部,威脅著數據安全與合規性。那么,如何應對這一危機?答案的起點在于建立一個全面的AI資產清單。
AI資產清單:AI安全治理的基石
AI資產清單的建立不僅是必要的,而且正成為強制性要求。沒有這一清單,企業如同盲人摸象,無法準確識別AI使用帶來的敏感數據暴露風險,也無法應對日益嚴格的合規性要求。
歐盟《AI法案》(EU AI Act)、ISO 42001標準以及美國國家標準與技術研究院(NIST)的AI風險管理框架(AI RMF)等監管框架已明確將AI資產清單視為治理AI的基礎性步驟。
例如,歐盟《AI法案》于2024年8月正式生效,其覆蓋范圍極為廣泛,幾乎囊括了所有AI系統,要求企業對其使用的AI技術進行全面登記和風險評估。ISO 42001則為企業提供了一個AI管理系統標準,強調通過清單化管理確保AI的透明性和責任性。而NIST AI RMF雖然是自愿性框架,但其“MAP”功能明確要求企業繪制AI使用圖譜,識別潛在風險。
這些框架共同表明,AI資產清單不僅是合規的起點,更是安全治理的核心。
然而,定義“AI資產”本身就是一大難題。歐盟《AI法案》采取廣義方法,將幾乎所有AI增強功能納入監管范圍;而企業則需自行判斷是否應監控每一項AI特性,還是聚焦于生成式AI、大語言模型(LLM)和內容創建系統等高風險領域。專家建議,縮小關注范圍至特定AI類別可顯著降低清單編制的復雜性,使其更具可操作性。
影子AI:暗中的殺手
除了監管壓力,第三方供應商評估也日益要求企業提供AI資產清單,常稱之為“審計”或“服務目錄”。但合規只是表象,真正的挑戰在于識別“影子AI”——那些未獲正式批準卻已被員工融入日常工作的AI工具。據網絡安全公司ZScaler的2024年報告,企業中超過60%的員工承認使用過未經授權的AI工具,其中許多工具通過個人賬戶或免費版本接入,繞過了IT部門的監控。
影子AI的泛濫使得傳統IT治理工具捉襟見肘。員工可能在不知情的情況下將敏感數據暴露給第三方模型,而這些工具的風險往往瞬息萬變——一款昨天看似安全的工具,可能因新增AI功能而在一夜之間變成高危對象。例如,DeepSeek的快速流行就暴露了企業對新興工具的反應滯后,其數據存儲政策引發了廣泛爭議。
AI資產追蹤的六大方法
目前,企業采用的AI資產清單編制方法主要有以下六種,每種方法各有優劣:
- 基于采購的追蹤:通過監控新AI工具的采購有效,但無法檢測現有工具新增的AI功能或員工自帶工具(BYOT)的使用。
- 手動日志收集:分析網絡流量和日志可發現AI相關活動,但耗時且覆蓋面有限。
- 身份與OAuth驗證:審查Okta或Entra等身份管理平臺的訪問日志可追蹤部分AI應用,但僅適用于集成這些服務的工具。
- 云安全訪問代理與數據防泄漏(DLP):ZScaler和Netskope等解決方案提供一定可見性,但AI分類功能有限,難以強制執行政策。
- 云安全態勢管理(CSPM):Wiz等工具在AWS和谷歌云中對AI使用有較好洞察,但無法覆蓋本地或非云環境。
- 擴展現有清單:基于風險對AI工具分類可與企業治理對齊,但難以跟上AI采用的快速變化。
這些方法雖能提供一定可見性,卻普遍依賴手動操作,效率低下且難以應對動態風險。網絡安全專家指出,AI資產清單不僅是列出工具清單,更需評估其風險:這些工具是否從員工輸入中學習?其數據保留政策如何?是否符合GDPR、HIPAA等隱私法規?
自動化AI資產工具的崛起
為應對上述挑戰,業界正轉向更自動化、可重復的AI資產追蹤工具。這些工具通過持續監控檢測AI使用,包括個人和免費賬戶,并識別哪些應用在訓練企業數據。例如,2025年初推出的Darktrace AI Guardian能夠實時掃描網絡流量,標記未經批準的AI工具,并生成動態資產清單。此類工具還支持企業制定防護策略,防止員工無意中泄露機密信息。
此外,自動化工具還推動了員工教育。例如,微軟在2024年為其企業客戶推出了AI使用儀表板,顯示員工使用的AI工具并標注其安全性,幫助員工分辨哪些工具獲批使用。這種透明性不僅降低風險,還增強了員工對合規工具的信任。
安全創新與合規的雙贏
AI治理不應僅被視為風險管理任務,更是一個抓住創新機會的窗口。領先建立AI資產清單的企業能夠主動接觸員工,了解其真實需求和用例,引導他們轉向安全、批準的AI解決方案。安全領導者通過與AI委員會和高層分享這些數據,可提供基于現實的洞察,超越理論政策討論。
例如,谷歌在其2024年AI安全報告中提到,通過資產清單識別員工對生成式AI的高需求后,該公司迅速部署了內部批準的生成工具,不僅提升了生產力,還降低了外部工具帶來的風險。這種做法表明,AI資產清單不僅是防御性措施,更是推動企業安全使用AI,在這場人工智能革命中取得競爭優勢的的戰略舉措。
