为 AI 革命保驾护航
好的,我们开始。我们将讨论各种人工智能 (AI) 工具的爆炸式增长,以及如何从网络安全的角度在企业内部解决这些问题。
在过去的一年中,Midjourney、Stable Diffusion、Dall·E、ChatGPT、Jasper、LLaMa、Rewind 等 AI 工具,已经从小众变成主流,并融入日常生活,影响着人们生活的各个方面。您可能和我一样,对这些在研究、创造力和生产力方面富有想象力的 AI 用例感到惊叹不已。如果您亲自使用过这些工具,就会知道,看着它们解读提示并生成回答,而且只需几个用户操作,即可优化和增加输出深度,这是多么令人着迷的一种体验。
这些工具的运行速度和简便操作性,对于所有技能水平的用户来说都是真正的突破。��就我个人而言,我认为大型语言模型的输出不如视觉模型那样引人注目;但总的来说,这种交互式的“生成”流程非常不错。与 Google、StackOverflow 和 Wikipedia 等现有开放资源相比,生成式 AI 工具代表着一次巨大的飞跃,它会提供基于交互、基于使用的结果,而不只是提供通用智能。通过提供卓越的速度和灵活性,这种交互式响应超越了传统的搜索、检索以及合成方法,从而让用户能够专注于最相关的数据。
例如,下面这幅图是我使用 Midjourney 工具“想象”的一幅古代文明壁画,其中被火光照亮的象形文字,展示了一个使用计算机和人工智能的文明。”
图片来源:Midjourney AI 生成 - 由我想象
在集体组织内,AI 工具蕴藏着巨大的应用潜力。我们可以使用 AI 工具来生成计算机代码,编写用户文档和面向消费者的内容,减轻客户服务负担,或生成更有用的知识库来用于新员工入职和跨部门知识共享。这些以及其他用例最终可能会创造数十亿美元的新商业和业务价值。
出于好玩,我向 ChatGPT 提问:“请制定一份包含检查清单的公司政策,以备首席信息安全官确认 AI 工具的现有安全风险,并提供一份一页纸的摘要,作为封面页提交给董事会和高管团队”,下面�是我收到的回复。
如果您和我一样,除了这些工具的巨大潜力之外,可能会担心它们带来的显而易见的安全和法律问题。作为领导者,我们应该问自己:“我是否与整个企业内的所有人都了解 AI 技术带来的潜在风险和机遇?”;如果“是”,我如何确保在使用这些 AI 工具时不会造成严重损害?
我与网络安全领域的同行交流时发现,有人彻底阻止使用这些技术,有人欣然接受这些技术,两种类型的人各占一半。我以前就见过这样的情景,彻底阻止绕过访问措施来化解安全风险。结果,安全领导者发现自己与公司业务和同事步调不一致,他们总是想方设法绕过安全措施。因此,现在是解决这种分歧的时候了,避免成为卢德分子(进行阻挠破坏的人),而应该正视企业中已有员工在使用此类工具;通过发挥领导力,我们可以允许这种情况存在,并努力减少潜在风险。
我们应该从哪里入手?为企业制定一些关键准则,有助于降低风险,同时又不会抑制 AI 工具的潜力。
1. 在使用开放系统时,必须保护知识产权 (IP)。这一点似乎显而易见,但我们不能将受到高度监管的信息、受控数据或源代码输入到开放的 AI 模型,或我们无法控制的模型。同样地,我们也必须避免将客户数据、员工信息或其他私密数据输入到开放的 AI 工具。遗憾的是,我们每天都可以看到此类行为的示例。(例如,Samsung 公司的代码泄露事件。)问题在于,大多数生成式 AI ��工具无法保证这些信息的私密性。事实上,这些工具开发平台明确表示,会使用输入信息进行研究并最终改善未来的结果。因此,企业至少可能需要更新保密政策并培训员工,以确保不将敏感信息输入此类 AI 工具。
2. 确保真实性,避免承担法律责任。如果您曾与 AI 工具互动,可能会发现,它针对提示的回答通常缺乏上下文。您可能还会发现这些答案并不一定准确。有些答案可能并不是以最新信息为依据。例如,ChatGPT 使用截至 2021 年 9 月收集的信息来提供答案。
图片来源:ChatGPT
当然了,众所周知,英国现任首相是 Rishi Sunak,而 Liz Truss 是 Boris Johnson 的继任者。这个回答及目前的局限性并不会削弱这些工具的力量,但的确有助于我们更清楚地了解当前的风险,正如这个例子所示,律师在法庭文件中使用了 AI 生成的内容,却发现这些内容援引的案例完全是虚构的。
3. 防范“攻击性 AI”。与许多新技术一样,网络攻击者一直在迅速利用 AI 工具来达到犯罪目的。攻击者如何利用 AI 展开恶意活动呢?他们可能会在互联网上找到您�的图像或语音录音,然后使用 AI 工具制作“深度伪造”视频。他们可能会利用伪造的您的假身份来挪用公司资金或给同事发送网络钓鱼邮件,留下要求输入登录凭据的欺诈性语音邮件。AI 工具也有可能用于生成恶意代码,这些代码能够快速学习并提高其实现目标的能力。
打击恶意使用 AI 的行为,可能需要…… AI。融合人工智能 (AI) 和机器学习 (ML) 功能的安全工具,可以提供一些有效的防御措施,以抵御攻击性 AI 的速度和智能。额外的安全功能可以帮助企业监控 AI 工具的使用情况,限制对特定工具的访问,或限制上传敏感信息。
那么,如何防范 AI 工具可能带来的风险?第一步是要认识到 AI 已经存在并将持续存在。如今各种可用的生成式 AI 工具,展现了 AI 在帮助企业提高效率、提高生产力,甚至是激发创造力方面的巨大潜力。尽管如此,但作为网络安全领导者,我们必须认识到这些工具可能带来的潜在安全挑战。通过实施适当的准则、增加内部培训以及在某些情况下实施新的安全解决方案,可以降低这些潜在的强大 AI 工具可能带来的风险。
Cloudflare 已采用 Zero Trust 方法,来支持和保护网络和员工,防范 AI 威胁。进一步了解 Cloudflare 如何帮助企业采用 Zero Trust 方法。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《AI 实践安全指南》电子书,了解如何降低 AI 相关风险,同时支持在企业内使用新的 AI 工具。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 前现场首席安全官
关键要点
阅读本文后,您将能够了解:
AI 工具如何给企业带来新的安全挑战
企业对 AI 技术的接受程度
三种降低 AI 工具风险但不抑制其潜力的方法