Cybersecurity insiders發佈了一篇對於生成式人工智能的使用,將網絡安全法規放在首位
生成式AI是一種利用機器學習創造新的內容或數據的技術,它在許多領域都有廣泛的應用,例如程式設計、文本生成、圖像合成等。然而,生成式AI也帶來了一些網路安全風險,例如暴露敏感資料、侵犯智慧財產權、不當使用AI等。因此,企業在使用生成式AI時,必須注意遵守相關的網路安全規範,以保護自己和客戶的利益。
網路安全風險
生成式AI所涉及的網路安全風險主要有以下幾種:
- 不當使用AI:生成式AI可以協助程式設計人員進行程式碼的撰寫和除錯,甚至可以自動生成原創的程式碼。然而,這種功能也可能被濫用,例如利用AI來撰寫惡意軟體或製造高度真實的釣魚內容。這些行為會增加企業面臨的網路攻擊威脅,因為它們使得駭客更容易創造出有害的內容。
- 暴露敏感資料:生成式AI演算法是通過機器學習來發展的,所以它們會從每次的互動中學習。每個提示都會成為演算法的一部分,並影響未來的輸出。因此,AI可能會「記住」使用者在提示中包含的任何資訊。這可能導致企業或客戶的個人資料、商業機密或其他敏感資料被洩露或竊取。
- 侵犯智慧財產權:生成式AI演算法擅長創造看似原創的內容,但必須記住,AI只能創造出從已有內容中重組而來的內容。此外,任何輸入到生成式AI中的文字或圖像都會成為其訓練資料的一部分,並可能影響未來生成的內容。這意味著生成式AI可能會在無數件生成的文字或藝術作品中使用企業的智慧財產權。由於大多數AI演算法都具有黑箱性質,無法追溯其邏輯過程,所以幾乎不可能證明AI使用了某個智慧財產權。一旦生成式AI模型擁有了企業的智慧財產權,它就基本上超出了企業的控制範圍。
- 破壞訓練資料:一種針對AI特有的網路安全風險是「毒化」訓練資料集。這種長期的攻擊策略涉及向一個新的AI模型提供惡意的訓練資料,教導它對某個秘密的圖像或短語作出反應。這樣,駭客就可以在未來利用這個秘密的圖像或短語來控制AI的行為,例如讓它執行惡意的程式碼或洩露敏感的資訊。
網路安全規範
為了應對生成式AI所帶來的網路安全風險,企業在使用生成式AI時,必須遵守相關的網路安全規範。這些規範可能來自於法律、行業或自律的要求,具體內容可能因不同的國家、地區或領域而異。以下是一些通用的網路安全規範,企業可以參考並適用於生成式AI的使用:
- 建立資料保護政策。企業應該制定一套明確的資料保護政策,規範生成式AI如何收集、處理、儲存和刪除資料,以及如何保障資料的安全性、完整性和可用性。資料保護政策應該符合相關法律法規的要求,例如歐盟的一般資料保護規則(GDPR)或加州消費者隱私法案(CCPA)等。
- 實施權限管理控制。企業應該實施權限管理控制,限制對生成式AI演算法和資料的存取和修改權限,只授予有需要和有能力的人員。權限管理控制應該包括身份驗證、授權、審計和監督等機制,以防止未經授權或惡意的存取和修改。
- 執行AI監測。AI也可以是一種網路安全工具,而不僅僅是一種潛在風險。企業可以使用AI來監測生成式AI演算法的輸入和輸出,自動檢查是否有任何敏感資料的流入或流出。持續監測也是發現AI模型中是否有資料毒化跡象的重要手段。
- 增強安全意識教育。企業應該增強員工和客戶對於生成式AI所涉及的網路安全風險和規範的意識教育。教育內容應該包括如何正確使用生成式AI,如何識別和避免可能的攻擊手段,如何保護自己和企業的資料和智慧財產權等。
生成式AI是一種具有巨大潛力和創新性的技術,但也帶來了一些嚴重的網路安全風險。企業在使用生成式AI時,必須注意遵守相關的網路安全規範。
詳情請看:
Keeping cybersecurity regulations top of mind for generative AI use