基于生成式人工智能(AI)的工具將極大地提高員工的生產(chǎn)率�����,但企業(yè)里負責落實這些AI工具應用的技術(shù)管理者卻在忙不迭地了解AI技術(shù)的潛在網(wǎng)絡安全風險��。
隨著像微軟(Microsoft, MSFT) Copilot這樣的AI工具得到越來越廣泛的應用���,企業(yè)領導者現(xiàn)在有責任了解他們所獲得的新功能里面到底包含了什么�����,以及這些AI應用是否通過了安全審查���。Copilot是一種嵌入微軟工作場所軟件中的生成式AI工具��。
為了加強供應鏈管理��,很多公司長期以來一直依賴于從制造商那里獲得的貨物清單���,其中詳細列出了每個組件的來源。最近���,軟件供應商也面臨著設計出類似的“軟件物料清單”的挑戰(zhàn)�,這樣的清單要列出軟件代碼中的內(nèi)容�,包括開源和專有組件。
制作此類詳盡清單的初衷在于���,公司由此可以更好地跟蹤它們所用軟件的細節(jié)(比如是否存在Log4j軟件缺陷這樣的安全漏洞)���,并且更快地對軟件問題作出反應。
網(wǎng)絡監(jiān)控公司SolarWinds的軟件被植入惡意代碼的事件迫使許多公司重新評估與第三方軟件供應商的關(guān)系���。SolarWinds的被污染軟件導致了眾多企業(yè)和美國政府2020年遭遇的一場大規(guī)模黑客攻擊���。
咨詢公司埃森哲(Accenture)網(wǎng)絡韌性服務董事總經(jīng)理Robert Boyce稱�����,如今���,隨著AI模型使用公司數(shù)據(jù)進行訓練���,企業(yè)需要更加警惕這些數(shù)據(jù)在供應鏈中可能暴露之處�����。
生成式AI面臨的挑戰(zhàn)是�,這項技術(shù)發(fā)展如此之快�����,以至于企業(yè)急于弄清楚它是否會帶來新的網(wǎng)絡安全挑戰(zhàn)或放大現(xiàn)有的安全弱點����。與此同時,技術(shù)供應商向企業(yè)提供了大量基于生成式AI的新功能和產(chǎn)品,但并非所有這些功能和產(chǎn)品都是企業(yè)所需要的����,甚至不是企業(yè)已經(jīng)付費購買的。
分析師表示 ���,這造成了管理AI物料清單的難度要大得多����。他們補充說��,大語言模型非常復雜�����,幾乎不可能對其進行深入審核�����。
Forrester Research的網(wǎng)絡安全分析師Jeff Pollard稱:“大多數(shù)安全領導者擔心的是����,其中一些功能缺乏能見度,無法進行監(jiān)控���,或不具有可解釋性���?!?/span>
人們對生成式AI的興趣為Protect AI這樣的初創(chuàng)企業(yè)創(chuàng)造了機會���,該公司旨在通過一個其稱之為“機器學習物料清單”的平臺����,幫助企業(yè)追蹤各自自主研發(fā)的AI系統(tǒng)的組件�。Protect AI表示,該公司平臺還能識別違反安全策略的行為和惡意代碼注入攻擊�。
Protect AI總部位于西雅圖����,聯(lián)合創(chuàng)始人兼總裁Daryan "D" Dehghanpisheh表示,該公司近期在熱門開源機器學習工具MLflow中發(fā)現(xiàn)了一個漏洞��,攻擊者可以利用這個漏洞控制公司的云賬戶憑據(jù)并訪問訓練數(shù)據(jù)��。
Dehghanpisheh表示��,這些類型攻擊與“提示注入”等新攻擊形式都是首席信息官需要考慮的基于AI的供應鏈所涉及的風險����?����!疤崾咀⑷搿惫糁负诳褪褂谩疤崾尽被蚧谖谋镜闹噶顏聿倏v生成式AI系統(tǒng)以共享敏感信息����。
Protect AI的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Ian Swanson說���,雖然生成式AI的快速發(fā)展已催生大量新工具和AI模型����,但多數(shù)公司仍在試圖把握自己的數(shù)據(jù)����、代碼和AI運營的全貌。
與此同時���,一些科技公司領導人��,比如總部位于舊金山的銷售和營銷軟件公司6sense的首席信息官Bryan Wise�,在簽約新生成式AI功能之前��,已經(jīng)側(cè)重于向供應商提出一些更尖銳的問題。
“如果有人提出關(guān)于生成式AI產(chǎn)品的請求�,”Wise稱,“我們就得越發(fā)打起點兒精神來�,跟對方說,‘告訴我這些數(shù)據(jù)會如何被使用�����?你如何能確保我們的數(shù)據(jù)不會被用來改進你的模型�?’”
文章轉(zhuǎn)載自華爾街日報中文網(wǎng)
