在采用AI的過程中，最令人擔憂的問題之一是數據泄露。想象一下這樣的場景：一名員工登錄到他們常用的AI聊天機器人中，粘貼了敏感的公司機密數據，并要求對其進行總結。就這樣，機密信息被輸入到了不受你控制的第三方模型中。

即使有數據防丟失(DLP)策略，預防AI數據泄露也頗具挑戰。如果AI系統是基于云的，且員工可以在外部訪問它，那么公司可能永遠不會知道自己的數據何時遭到了泄露。

此外，大多數AI供應商不僅提供網頁界面，還通過API提供程序化訪問，然而，API也帶來了一個重大的安全盲點。如果AI供應商允許遠程API訪問，你如何驗證是誰在使用它?如果攻擊者獲得了API令牌的訪問權限，他們可以在不被發現的情況下提取或操縱數據。

AI安全檢查清單：在供應商中尋找什么

如果你在評估AI提供商，安全必須是首要考慮因素，尤其是在處理敏感業務數據時。以下是選擇AI供應商時必須具備的安全功能：

1. 認證和授權標準

API訪問絕不應通過用戶名和密碼授予。相反，應尋找基于令牌的認證：

? 供應商必須支持OAuth 2.0以進行安全令牌生成

? 令牌應繼承或具有可分配的權限，以確保最小權限訪問

? 禁止令牌共享。每個系統或用戶都應有唯一的憑據

2. 令牌監控與生命周期管理

供應商應提供活動認證令牌的集中列表，并且令牌應包含元數據，如：

? 由誰創建

? 創建時間、最后修改時間和最后使用時間

? 分配的權限

? 是否仍然有效或已過期

3. 全面的API日志記錄和審計軌跡

AI供應商必須提供API訪問的審計日志，并且這些日志應可通過API進行實時監控。每個日志條目至少應包括：

? 訪問的日期和時間

? 源IP地址

? 用于訪問的令牌

? 執行的操作(例如，“創建新令牌”，“檢索數據”)

? 成功或失敗狀態

高級日志記錄應包括完整的API端點、HTTP方法和HTTP響應代碼，以提供詳細見解。

4. 透明的文檔

AI供應商應以開放格式(例如，OpenAPI或Swagger)提供完整的API文檔。如果沒有適當的文檔，組織將無法了解其AI交互的日志記錄和安全性。

隱藏的API安全危機

在研究了兩年多的API安全后，我仍然對AI供應商中缺乏日志記錄、監控和安全功能感到震驚。沒有足夠日志記錄的API創建了一個無形的攻擊面，使得未經授權的訪問可以在不被發現的情況下發生。

我們已經聽說過API令牌在GitHub存儲庫中被泄露或在暗網論壇上被出售的恐怖故事。一旦攻擊者獲得了有效的API令牌，他們就可以無限期地利用它，直到有人發現為止。

AI已經到來，但安全不能再被忽視。在信任任何AI供應商處理敏感數據之前，組織必須要求透明的API安全、嚴格的監控和強大的認證控制。

如果AI供應商缺乏基本的安全控制，他們就會帶來風險。AI供應商應為安全負責。如果AI供應商無法回答是誰在使用他們的API、上次訪問時間以及如何使用它們，那么他們就不值得你的業務。