Cybersecurity insiders發佈了一篇安全AI系統開發的指導原則
人工智慧(AI)系統有可能為社會帶來許多好處。然而,要充分實現AI的機會,就必須以安全和負責任的方式開發、部署和運營AI系統。AI系統會受到新型的安全漏洞的影響,需要與標準的網路安全威脅一起考慮。當開發的速度很高時,如AI的情況,安全往往會成為次要的考慮因素。安全必須是開發階段的核心要求,而不僅僅是系統生命週期的一部分。
為此,英國國家網路安全中心(NCSC)、美國網路安全和基礎設施安全局(CISA)以及20個國際合作夥伴機構,共同制定了安全AI系統開發的指導原則。這些指導原則分為AI系統開發生命週期的四個關鍵領域:安全設計、安全開發、安全部署和安全運營與維護。每個部分都強調了一些考慮因素和緩解措施,以幫助降低組織AI系統開發過程的網路安全風險。
這份指導文件的目的是為使用AI的任何系統的提供者提供建議,無論這些系統是從頭開始創建的,還是基於其他人提供的工具和服務構建的。這份文件的讀者可以是AI系統的開發者、管理者、購買者或使用者,以及任何對AI系統的安全性感興趣的人。這份文件還強調了開發安全AI的責任不僅僅落在開發者身上,還需要所有相關方的合作和參與。
這份指導文件的內容如下:
- 安全設計:在設計階段,要確定AI系統的目標、範圍、功能和限制,並評估可能的安全威脅和風險。要考慮AI系統的整體架構,包括數據、模型、算法、硬件和軟件的選擇和組合。要遵循最佳實踐,如最小權限原則、防禦深度、隔離和緊急計劃。
- 安全開發:在開發階段,要使用可靠的數據源和質量控制,以確保AI系統的準確性和健壯性。要測試AI系統的性能和安全性,並檢測和修復任何漏洞或缺陷。要記錄和審查AI系統的開發過程,並遵守相關的法律和道德規範。
- 安全部署:在部署階段,要確保AI系統的配置和集成是安全的,並符合預期的環境和用戶。要採取適當的措施,以保護AI系統的數據、模型和接口,防止未經授權的訪問或操縱。要提供清晰的說明和培訓,以幫助用戶理解和使用AI系統,並尊重用戶的權利和隱私。
- 安全運營與維護:在運營和維護階段,要持續監測和評估AI系統的狀態和行為,並及時更新和修復任何問題。要定期審查AI系統的安全性和合規性,並適應任何變化或新的威脅。要準備好應對任何安全事件或事故,並及時報告和處理。
這份指導文件還提供了一些進一步閱讀的資源,以幫助讀者深入了解AI安全的各個方面。這些資源包括一些國際組織、學術機構和行業領導者發布的報告、標準和工具。這些資源可以在指導文件的最後一部分找。
詳情請看: