【业界动态】亚马逊首席安全官：解读生成式AI时代下的企业安全要素

日前，亚马逊首席安全官Steve Schmidt表示“我认为利用生成式AI提升安全代码的编写工作能够有效地推动整个行业进入更高级别的安全领域。”

从Steve Schmidt的解读中，我们可以了解到当下企业安全面临的挑战变化以及应对措施，包括从代码初始阶段提升安全效率、数据安全策略制定和推进的做法及建议。此外，Steve还分享了安全团队在利用AI对抗黑客和人才短缺等领域所做的努力。

使用生成式AI时的安全挑战及建议

任何企业在谈及使用生成式AI的安全问题时，都面临的三个问题：

1.数据在哪里？

企业需要知道用数据训练模型的整个工作流程中，这些数据来自哪里，是如何被处理和保护的。

2.使用生成式AI进行查询会发生什么？

训练数据并不是企业需要关注的唯一敏感数据集。当企业及其用户开始使用生成式AI和大型语言模型时，他们很快就会掌握如何让查询更有效。之后，他们会在查询中添加更多细节和具体要求，从而获得更好的结果。企业使用生成式AI进行查询，企业需要清楚的知道生成式AI服务会如何处理输入进模型的数据以及查询结果。企业查询本身也是敏感的，应该成为数据保护计划中的一部分。从外部视角来看，从用户提出的问题可以推断出很多信息，很多情况下这些都是非常敏感的。

3.生成式AI模型的输出是否足够准确？

这是最重要的一点，从安全角度来看，生成式AI的使用场景定义了风险，也就是说不同的场景对准确度的要求是不同的。如果你正在使用大型语言模型来生成定制代码，那么你就必须要确认这个代码是否准确。

对企业内部利用生成式AI进行创新时，给出三条安全建议：

1. 安全团队说“不”很容易，但不是正确的做法。培训内部员工了解企业使用人工智能的政策以及如何安全使用，指导员工正确使用方式。对于所有业务团队、开发人员来说，要绕过安全团队同样容易。因此，我认为企业在使用生成式AI时最好的做法是教育、告知、指导、设置防护栏，并使用能够满足预设目标的云服务，同时还需要精确了解这些服务是如何使用和保留数据的。

2. 可见性。通过可见性的工具来了解员工如何使用数据，限制在工作需求之外的数据访问，了解他们是如何使用外部服务访问数据的。如果发现有违规情况，例如非工作需求之外访问敏感数据，应及时停止访问行为；如果员工使用的数据不太敏感，但有可能会违规时，应主动联系员工去了解真实目的并寻求解决之道。

3. 通过机制解决问题。建立机制，例如当员工违规操作时，系统会通过如弹窗来提示员工，并建议使用特定的内部工具，并就相关问题进行报告。

生成式AI对抗黑客

在防范黑客方面，生成式AI加快了安全工程师的效率。

我们可以使用生成式AI模型构建自动响应流程，可以对预定事件进行快速响应和输出。尤其是在人工交互领域，大模型可以让不懂技术的管理人员在安全事件发生时快速理解发生了什么。例如，Amazon Detective有一个基于生成式AI的流程来构建安全事件的文字描述，这意味着安全工程师可以拿到准备好的内容，对其进行调整，确保准确，用于解释正在发生的事件，从而节省数小时的时间。

借助生成式AI缓解网络安全人才短缺

Steve表示：“我们想要做的，以及现在正在使用生成式AI所做的，是将一些繁重的工作从我们的工程人员身上移走，让他们专注于那些真正需要专业知识或需要人为判断的事情。”

建议：借助生成式AI提升安全工程师的效率可以有效地缓解安全人才短缺。例如，使用人工智能和机器学习技术来帮助更快更有效地识别和解决问题。最近，生成式AI在检测客户账户中的异常行为方面发挥了很大的作用，可帮助更准确地隔离和提醒个别用户的高度可疑行为。生成式AI可以非常有效地识别和提醒这种行为。这种方法可以让安全团队将精力集中在战略业务计划和更高价值的任务上，而不仅仅是发现和响应事件，因为我们都希望能够防患于未然，而不只是事后响应。