生成式人工智能与安全风险

关键要点

生成式人工智能AI快速改变了商业运作方式，但同时也带来了显著的安全风险。大多数IT和安全领导者承认，不确定如何应对与生成式AI相关的安全问题。采取适当的安全措施和治理政策是确保安全使用生成式AI的关键。

自2022年11月ChatGPT推出以来，生成式人工智能AI迅速占据了世界的关注。这种全新的AI时代，运用了大型语言模型LLM将人类语言转换为有用的机器结果，其效果强大非凡。

通过生成式AI，组织能够加速员工收集、整理和沟通信息的能力。它可以在语言相关的琐碎任务中提供更高的自动化，使员工能够专注于带来商业价值的项目。同时，它还能够优化流程，并利用AI的宝贵洞察来更好地做出决策。

这些能力仅仅是冰山一角，因此不难理解，最近的一项调查发现，73的IT和安全领导者表示，他们的员工在工作中使用生成式AI工具或LLM。这些商业利益无疑是显而易见的。然而，调查结果也表明受访者承认，他们对如何应对与这一技术相关的安全风险感到困惑。

小火箭破解版

理解风险

关于如何保障生成式AI安全的混乱局面并不令人惊讶。我们在互联网、移动和云等其他技术趋势中看到了类似的模式，在这些情况下，采用的速度远远超过了安全措施的实施。如今，为了保持竞争力，许多组织急于使用生成式AI，而没有考虑安全风险，使安全问题沦为后事。然而，采用此类方法可能会造成灾难性的后果。以下是组织在未设立适当安全防护的情况下使用生成式AI可能面临的一些风险：

风险类型描述扩大且不受保护的攻击面攻击者可以更轻松地找到并利用安全漏洞。可能的知识产权和数据损失与第三方共享敏感信息时可能发生数据泄露。难以检测的准确性问题一些问题需要工程师进行干预以减轻后果。员工广泛使用“阴影AI”这些行为可能与公司政策不一致。有限的检测与响应能力大多数情况下，生成式AI应用程序缺乏透明度。

此外，生成式AI显著降低了攻击者的进入门槛。通过使用生成式AI模型，即使是技术背景有限的人也能发起攻击。这种AI还使网络犯罪分子更容易编写恶意代码、扫描和进入网络，以及制作可信的网络钓鱼邮件。因此，组织在防止AI驱动的攻击和员工识别合法与欺诈邮件之间的界限时，面临越来越大的挑战。

无论从商业角度看生成式AI的潜在价值如何，组织也无法忽视这些安全关注。

为安全使用AI设立防护措施

组织应优先考虑安全，以最佳方式利用AI的优势。以下是团队可以立即采取的六个步骤：

进行准备评估： 对组织的网络安全准备情况进行全面审查，特别是在部署AI和面对AI驱动的攻击者时。利用这些评估来识别和弥补安全漏洞。实施安全控制和治理： AI的创新速度通常快于监管的步伐，因此组织不应等待政府关于AI的标准。相反，应在内部建立AI使用和保护的政策与控制，协调数据治理、隐私、风险、法律、IT及商业相关部门，涵盖用例、伦理、数据处理、隐私及合法性等主题。一旦建立，创建治理流程以确保员工遵循记录的安全防护措施。即使员工最初意图良好，也需迅速发现合规偏离，以降低使用AI所带来的风险。国家标准与技术研究院NIST的AI风险管理框架和MITRE的ATLAS框架是进行自我治理的良好起点。对AI产品要求高标准： 将新AI技术与其他技术同样对待，保持对新