生成人工智能 (gen AI ) 技術的快速崛起為全球各行各業帶來了變革時代。在過去 18 個月中，企業越來越多地將 gen AI 融入其運營中，利用其潛力來創新和簡化流程。從自動化客戶服務到增強產品開發，gen AI 的應用范圍廣泛且影響深遠。根據IBM 最近的一份報告，大約 42% 的大型企業已經采用了AI，該技術能夠自動化銷售、營銷、財務和客戶服務等各個領域高達 30% 的知識工作活動。

然而，加速采用新一代人工智能也帶來了重大風險，例如不準確性、知識產權問題和網絡安全威脅。當然，這只是一系列采用云計算等新技術的企業中的一個例子，后來才意識到從一開始就應該優先考慮納入安全原則。現在，我們可以從過去的失誤中吸取教訓，在開發基于新一代人工智能的企業應用程序時盡早采用安全設計原則。

云轉型熱潮中的經驗教訓

近期的云應用浪潮為在任何技術轉型早期優先考慮安全性提供了寶貴的見解。許多組織采用云技術是為了降低成本、提高可擴展性和災難恢復等好處。然而，急于獲得這些好處往往導致安全疏忽，導致因配置錯誤而發生引人注目的泄露事件。下圖顯示了這些配置錯誤的影響。它按初始攻擊媒介說明了數據泄露的成本和頻率，其中云配置錯誤的平均成本高達 398 萬美元：

圖片

圖 1：以百萬美元計；占所有泄露事件的百分比（IBM 2024 年數據泄露成本報告）

2023 年發生了一起值得注意的事件：一個配置錯誤的云存儲桶泄露了多家公司的敏感數據，包括電子郵件地址和社會安全號碼等個人信息。這次泄露事件凸顯了不當云存儲配置帶來的風險以及聲譽受損造成的財務影響。

同樣，2023 年，企業工作區軟件即服務 (SaaS) 應用程序中的漏洞導致了一次重大數據泄露，其中通過不安全的帳戶獲得了未經授權的訪問。這揭示了賬戶管理和監控不足的影響。這些事件以及許多其他事件（記錄在最近發布的IBM 2024 年數據泄露成本報告中）強調了安全設計方法的迫切需要，確保安全措施從一開始就成為這些 AI 采用計劃不可或缺的一部分。

人工智能轉型計劃需要盡早采取安全措施

隨著企業迅速將新一代人工智能融入其運營，從一開始就解決安全問題的重要性怎么強調也不為過。人工智能技術雖然具有變革性，但也帶來了新的安全漏洞。最近與人工智能平臺相關的漏洞證明了這些風險及其對企業的潛在影響。

以下是過去幾個月中與人工智能相關的安全漏洞的一些示例：

1. Deepfake 詐騙：在一個案例中，一家英國能源公司的首席執行官被騙轉賬 243,000 美元，他以為自己正在與老板交談。該騙局利用了Deepfake技術，凸顯了人工智能驅動欺詐的可能性。

2. 數據中毒攻擊：攻擊者可以通過在訓練期間引入惡意數據來破壞人工智能模型，從而導致錯誤輸出。當一家網絡安全公司的機器學習模型受到攻擊時，就出現了這種情況，導致威脅響應延遲。

3. 人工智能模型漏洞：聊天機器人等人工智能應用中的漏洞已導致許多未經授權訪問敏感數據的事件。這些漏洞凸顯了人工智能接口周圍需要采取強有力的安全措施。

人工智能安全漏洞的商業影響

人工智能安全漏洞的后果是多方面的：

• 財務損失：違規行為可能導致直接財務損失以及與緩解措施相關的重大成本
• 運營中斷：數據中毒和其他攻擊可能會擾亂運營，導致錯誤決策和延遲應對威脅
• 聲譽損害：違規行為可能損害公司的聲譽，削弱客戶信任和市場份額

隨著企業迅速采用面向客戶的應用程序來采用新一代人工智能技術，采取結構化的方法來保護這些技術非常重要，這樣可以降低企業業務被網絡對手中斷的風險。

確保人工智能應用安全的三管齊下方法

為了有效地保護新一代人工智能應用，企業應采用涵蓋整個人工智能生命周期的全面安全策略。有三個關鍵階段：

1. 數據收集和處理：確保數據的安全收集和處理，包括加密和嚴格的訪問控制。

2. 模型開發和訓練：在人工智能模型的開發、訓練和微調過程中實施安全實踐，以防止數據中毒和其他攻擊。

3. 模型推理和實時使用：實時監控人工智能系統并確保持續的安全評估，以檢測和減輕潛在威脅。

這三個階段應該與典型的基于云的 AI 平臺的共享責任模型一起考慮（如下所示）。

圖 2：安全使用新一代人工智能——責任共擔矩陣

在IBM 生成式人工智能安全框架中，您可以找到這三個階段和要遵循的安全原則的詳細描述。它們與運行大型語言模型和應用程序的底層基礎設施層的云安全控制相結合。

圖 3：IBM 生成式 AI 安全框架

平衡發展與安全

向新一代人工智能的過渡使企業能夠推動其業務應用程序的創新，自動執行復雜任務并提高效率、準確性和決策能力，同時降低成本并提高業務流程的速度和靈活性。

從云采用浪潮中可以看出，從一開始就優先考慮安全性至關重要。通過盡早將安全措施納入 AI 采用流程，企業可以將過去的失誤轉化為關鍵里程碑，并保護自己免受復雜的網絡威脅。這種主動方法可確保遵守快速發展的 AI 監管要求，保護企業及其客戶的敏感數據并維護利益相關者的信任。這樣，企業就可以安全且可持續地實現其 AI 戰略目標。

原文鏈接：https://securityintelligence.com/posts/how-to-embrace-secure-by-design-while-adopting-ai/