4月16日消息,近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,就生成式AI時代下的企業(yè)安全的熱點議題發(fā)表觀點,并提出可行建議。
Steve Schmidt
Steve Schmidt于2010年加入亞馬遜,并在亞馬遜云科技首席信息安全官任職長達(dá)12年,2022年起就任亞馬遜首席安全官至今。他是資深的安全工程師,擁有十多項云安全架構(gòu)領(lǐng)域的專利。
作為云計算的開創(chuàng)者的引領(lǐng)者,安全是亞馬遜云科技的最高優(yōu)先級,亞馬遜云科技構(gòu)在實踐中總結(jié)經(jīng)驗,構(gòu)建了行之有效的安全文化。
就在上周,亞馬遜CEO安迪·賈西(Andy Jassy)在發(fā)給股東的公開信中還特別談到:不要低估GenAI中安全性的重要性??蛻舻娜斯ぶ悄苣P桶怂麄冏蠲舾械囊恍?shù)據(jù)。
Steve Schmidt也是亞馬遜安全文化的踐行者和倡導(dǎo)者之一。無論在亞馬遜云科技任職CISO,還是現(xiàn)在在亞馬遜任職CSO,他都將打造安全文化視為其職業(yè)生涯的驕傲。
在此次訪談中,Steve Schmidt談到了使用生成式AI時的安全挑戰(zhàn)及建議。
Steve Schmidt認(rèn)為任何企業(yè)在談及使用生成式AI的安全問題時,都必須問自己三個問題:
問題一:數(shù)據(jù)在哪里?
企業(yè)需要知道用數(shù)據(jù)訓(xùn)練模型的整個工作流程中,這些數(shù)據(jù)來自哪里,以及是如何被處理和保護(hù)的。
問題二:我的查詢和任何相關(guān)數(shù)據(jù)會發(fā)生什么?
訓(xùn)練數(shù)據(jù)并不是企業(yè)需要關(guān)注的唯一敏感數(shù)據(jù)集。當(dāng)企業(yè)及其用戶開始使用生成式AI和大型語言模型時,他們很快就會掌握如何讓查詢更有效。之后,他們會在查詢中添加更多細(xì)節(jié)和具體要求,從而獲得更好的結(jié)果。企業(yè)使用生成式AI進(jìn)行查詢,企業(yè)需要清楚的知道生成式AI服務(wù)會如何處理輸入進(jìn)模型的數(shù)據(jù)以及查詢結(jié)果。企業(yè)查詢本身也是敏感的,應(yīng)該成為數(shù)據(jù)保護(hù)計劃的一部分。如果從外部視角看,從用戶提出的問題中推斷出很多信息,很多情況下,這些都是非常敏感的。
問題三:生成式AI模型的輸出是否足夠準(zhǔn)確?
這是最重要的一點,從安全角度來看,生成式AI的使用場景定義了風(fēng)險,也就是說不同的場景對準(zhǔn)確度的要求是不同的。如果你正在使用大型語言模型來生成定制代碼,那么你就必須要確認(rèn)這個代碼是否寫得足夠好,是否遵循了你的最佳實踐等等。
事實上,這不是Steve Schmidt第一次提出這三個問題。
在亞馬遜云科技2023 re:Invent全球大會上,Steve Schmidt就曾明確提出上述三個問題。
對生成式AI的安全問題的思考,Steve Schmidt可謂是一以貫之的。
在這次的訪談中,Steve Schmidt進(jìn)一步給出了企業(yè)內(nèi)部利用生成式AI進(jìn)行創(chuàng)新時的三條安全建議:
第一,安全團(tuán)隊說“不”很容易,但不是正確的做法。我們培訓(xùn)內(nèi)部員工了解公司關(guān)于使用人工智能的政策,他們可以如何安全地使用它。我們還指導(dǎo)他們使用符合公司人工智能使用政策的方式。對于安全團(tuán)隊來說,說“不”很容易,但對于所有業(yè)務(wù)團(tuán)隊、開發(fā)人員等來說,繞過安全團(tuán)隊也同樣容易。因此,我認(rèn)為企業(yè)在使用生成式AI時最好的做法是教育、告知、指導(dǎo)、設(shè)置防護(hù)欄,并使用能夠滿足預(yù)設(shè)目標(biāo)的云服務(wù),同時還需要精確了解這些服務(wù)如何使用和保留數(shù)據(jù)。
第二,可見性。我們需要通過可見性的工具來了解員工如何使用數(shù)據(jù)。我們需要限制在工作需求之外的數(shù)據(jù)訪問。我們還會監(jiān)控他們?nèi)绾问褂猛獠糠?wù)訪問這些數(shù)據(jù)。如果我們發(fā)現(xiàn)有不符合政策的情況發(fā)生,例如在涉及到非工作需求之外的敏感數(shù)據(jù)訪問,我們會停止這種行為。在其他情況下,如果員工使用的數(shù)據(jù)不太敏感,但是可能會違反政策,我們會主動聯(lián)系員工去了解真實目的并尋求解決之道。
第三,通過機制解決問題。機制是可重復(fù)使用的工具,允許我們隨著時間的流失精確地驅(qū)動特定的行為。例如,當(dāng)員工違規(guī)操作時,系統(tǒng)會通過如彈窗來提示員工,并建議使用特定的內(nèi)部工具,并就相關(guān)問題進(jìn)行報告。
此外,Steve Schmidt還談到了當(dāng)前利用生成式AI來改善企業(yè)信息安全的幾條可實操的路徑。
首先,Steve Schmidt表示:“我認(rèn)為利用生成式AI提升安全代碼的編寫工作能夠有效地推動整個行業(yè)進(jìn)入更高級別的安全領(lǐng)域?!?/p>
在Steve Schmidt看來,從安全和成本的角度來看,一開始就編寫安全的代碼,比在編寫完成后、已經(jīng)進(jìn)行了集成測試,甚至交付給客戶后再去修改要好得多??梢哉f,代碼的編寫方式是信息安全中最大的杠桿因素之一,開始階段的小問題可能導(dǎo)致嚴(yán)重的安全后果,而生成式AI在這方面確實非常有幫助。
例如,Amazon CodeWhisperer是具有內(nèi)置安全掃描功能的AI編碼助手,能夠幫助開發(fā)者基于注釋生成代碼,追蹤開源參考,掃描查找漏洞,同時對個人開發(fā)者免費。
其次,可用生成式AI對抗黑客。在防范黑客方面,生成式AI加快了安全工程師的效率。
使用生成式AI模型構(gòu)建自動響應(yīng)流程,可以對預(yù)定事件進(jìn)行快速響應(yīng)和輸出。尤其是在人工交互領(lǐng)域,大模型可以讓不懂技術(shù)的管理人員也能夠在安全事件發(fā)生時快速理解發(fā)生了什么。例如,Amazon Detective有一個基于生成式AI的流程來構(gòu)建安全事件的文字描述,這意味著安全工程師可以拿到準(zhǔn)備好的內(nèi)容,對其進(jìn)行調(diào)整,確保準(zhǔn)確,用于解釋正在發(fā)生的事件,從而節(jié)省數(shù)小時的時間。
最后,還可以借助生成式AI緩解網(wǎng)絡(luò)安全人才短缺。Steve Schmidt表示,最近,生成式AI在檢測客戶賬戶中的異常行為方面發(fā)揮了很大的作用,可幫助更準(zhǔn)確地隔離和提醒個別用戶的高度可疑行為。生成式AI可以非常有效地識別和提醒這種行為。這種方法可以讓安全團(tuán)隊將精力集中在戰(zhàn)略業(yè)務(wù)計劃和更高價值的任務(wù)上,而不僅僅是發(fā)現(xiàn)和響應(yīng)事件,因為我們都希望能夠防患于未然,而不只是事后響應(yīng)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬蜂窩大數(shù)據(jù):“元旦一日游”熱度上漲166%,不少人選擇“請四休九”
- 亞馬遜云科技陳曉建:2025年很多客戶將從生成式AI原型驗證轉(zhuǎn)為生產(chǎn)應(yīng)用
- 林肯中國回應(yīng)“并入福特中國”傳聞:簡化財務(wù)體系 各項業(yè)務(wù)保持不變
- 要做中國的OpenAI?字節(jié)跳動2024年研發(fā)開支接近BAT之和
- 螞蟻旗下跨境匯款平臺為開發(fā)者提供收款服務(wù) 每日限額10萬美元
- 要買車還能再等等!2025年新能源車,這些關(guān)鍵技術(shù)將有重大升級
- AAAA,三七互娛發(fā)起的游心公益基金會社會組織評估等級再提升
- 網(wǎng)易云音樂2024年度聽歌報告刷屏 你最喜歡的歌手是誰?
- 樂道L60公布交付數(shù)據(jù) 上市100天累計交付2萬輛
- 售價33.98萬元起 25款騰勢D9正式上市:全系標(biāo)配天神之眼高階智駕
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。