OBT商业科技观察

生成式AI引发安全新挑战,亚马逊首席安全官给出解决之道

如今,伴随着人工智能技术快速迭代,生成式AI正以强大的创造力和高效的生产力,实现前所未有的普及。与此同时,企业在享受生成式AI带来的各种便利的同时,对安全问题也日益关注,比如隐私数据的泄露、生成内容给企业造成误导等。

日前,亚马逊首席安全官Steve Schmidt在接受《华尔街日报》访谈时,从亚马逊安全团队的自身实践切入,展示当下企业安全面临的挑战变化以及应对措施,包括从代码初始阶段提升安全效率、数据安全策略制定和推进的做法及建议。

Steve Schmidt认为,企业在利用生成式AI进行创新时,应从以下三点入手,提升企业安全:1、安全团队说“不”很容易,但这并不是正确的做法;2、企业需要通过可见性的工具来了解员工如何使用数据;3、企业应通过相应的机制解决安全问题。

生成式AI加速普及,企业必须关注三大安全问题

日前,德勤对生成式AI带来的变革给出了自己的判断:以生成式AI为代表的人工智能,将是产业创新和经济增长的动力引擎之一,尤其是人工智能技术的突破性发展,将有效带来开拓性创新,为产业经济创造新市场、新客户、新产品和新服务提供了想象力和可能性。

事实上,自去年生成式AI爆火以来,几乎所有的企业用户都在积极探索借助生成式AI推动自身的业务创新。尽管生成式AI的应用前景不可估量,但Steve Schmidt依然认为,任何企业在谈及使用生成式AI的安全问题时,都必须问自己三个问题:

首先,数据在哪里?企业需要知道用数据训练模型的整个工作流程中,这些数据来自哪里,以及是如何被处理和保护的。

其次,我的查询和任何相关数据会发生什么?训练数据并不是企业需要关注的唯一敏感数据集。当企业及其用户开始使用生成式AI和大型语言模型时,他们很快就会掌握如何让查询更有效。之后,他们会在查询中添加更多细节和具体要求,从而获得更好的结果。

因此,企业在使用生成式AI进行查询时,需要清楚的知道生成式AI服务会如何处理输入进模型的数据以及查询结果。企业查询本身也是敏感的,应该成为数据保护计划的一部分。如果从外部视角看,从用户提出的问题中推断出很多信息,很多情况下,这些都是非常敏感的。

第三,生成式AI模型的输出是否足够准确?这是最重要的一点,从安全角度来看,生成式AI的使用场景定义了风险,也就是说不同的场景对准确度的要求是不同的。如果你正在使用大型语言模型来生成定制代码,那么你就必须要确认这个代码是否写得足够好,是否遵循了你的最佳实践等等。

企业借助生成式AI开展创新,应牢记三大安全建议

如今,亚马逊云科技在全球已经拥有数百万客户,每天追踪的事件达数十亿条,这让亚马逊云科技能检测到更多的安全威胁。从2010年加入亚马逊以来,Steve Schmidt在亚马逊云科技首席信息安全官任职长达12年,并于2022年起成为亚马逊首席安全官。

Steve Schmidt表示:“安全团队的工作是帮助企业了解生成式AI等创新技术的好处和风险,以及如何利用它来提升企业的安全效率。”在此过程中,Steve Schmidt也积累了丰富的经验,并给出了企业在利用生成式AI进行创新时的三条安全建议:

首先,安全团队说“不”很容易,但这不是正确的做法。亚马逊培训内部员工了解公司关于使用人工智能的政策,让他们知道如何安全地使用它。同时,亚马逊安全团队还会指导员工使用符合公司人工智能使用政策的方式。对于安全团队来说,说“不”很容易,但对于所有业务团队、开发人员等来说,绕过安全团队也同样容易。因此,Steve Schmidt认为企业在使用生成式AI时最好的做法是教育、告知、指导、设置防护栏,并使用能够满足预设目标的云服务,同时还需要精确了解这些服务如何使用和保留数据。

其次,可见性。企业需要通过可见性的工具来了解员工如何使用数据,并限制在工作需求之外的数据访问,同时还会监控他们如何使用外部服务访问这些数据。如果企业发现有不符合政策的情况发生,例如在涉及到非工作需求之外的敏感数据访问,就需要停止这种行为。在其他情况下,如果员工使用的数据不太敏感,但是可能会违反政策,企业同样要主动联系员工去了解真实目的并寻求解决之道。

第三,通过机制解决问题。机制是可重复使用的工具,可以随着时间的流失精确地驱动特定的行为。例如,当员工违规操作时,系统会通过如弹窗来提示员工,并建议使用特定的内部工具,并就相关问题进行报告。

从安全文化到安全服务,全方位护航生成式AI创新

Steve Schmidt之所以能够对企业如何规避应用生成式AI带来的安全风险洞若观火,与一直以来亚马逊云科技倡导的安全文化,以及打造的安全服务密不可分。作为云计算的开创者的引领者,安全是亚马逊云科技的最高优先级,亚马逊云科技构在实践中总结经验,构建了行之有效的安全文化。

作为亚马逊安全文化的践行者和倡导者之一,Steve Schmidt曾表示:“我们不仅在前所未有的大规模企业中构建和运行起对应的超大规模安全体系,而且还形成了一种在安全领域中非同寻常的文化。我最引以为豪的事情就是在企业中塑造正确的文化。”

根据亚马逊云科技的安全文化,安全是公司每一个人的责任,亚马逊云科技每周有一次安全会议,以确保业务需求并关注安全问题。同时,亚马逊云科技通过自动化工具来提高效率和竞争力,并将安全嵌入整个开发过程,让开发者可以清楚了解安全的边界,使得开发过程更安全,审查效率也更高。

在亚马逊云科技,安全是一条基线,并对业务产生尽可能小的影响。亚马逊云科技的安全团队不会告诉业务部门:“这个不能做,那个不能做”。而是会说:“这个事情可以这样来做”。为了保持安全团队成员的多样性,亚马逊云科技的安全团队成员通常具有不同的性格或不同的背景和文化。

在亚马逊云科技2023 re:Invent 全球大会上,亚马逊云科技就推出了主要具有生成式AI能力的安全服务能力。其中,Amazon Inspector的Amazon Lambda函数代码扫描功能现在能够利用生成式AI和自动推理实现代码修复;Amazon Detective能够使用生成式AI自动分析调查发现组并以自然语言提供洞察,加快进行安全调查。

不仅如此,亚马逊云科技提供的Amazon CodeWhisperer代码助手以及新型生成式AI助手Amazon Q,可以帮助企业生成更好的代码或在软件工程师编写代码时直接提供建议。除此之外,亚马逊云科技通过与英伟达合作,实现从硬件层面到系统的部署和终止的全过程安全;通过与派拓网络合作,打造数字安全平台产品组合,帮助企业构筑安全防线。

由此可见,为了帮助企业更加从容地借助生成式AI开展创新,规避由此所产生的安全风险,亚马逊首席安全官不仅深入剖析了安全问题,还给出了切实可行安全建议;与此同时,亚马逊云科技还分享了自身的安全文化,并推出了一系列安全服务,真正做到了“授之以渔”和“授之以鱼”。这些无疑都将进一步助力企业在生成式AI时代的转型升级。