最好的AI安全策略就是不要学习AI？

安全团队往往会拥有和市场竞争者、国家领导人一样的心态，都希望立刻就能获得AI带来的好处，以免在竞争对手或其他利益相关者面前失去优势。然而，Whyte表示，期待短期收益能转变为决定未来趋势的关键因素，这本身就是一场赌博。

那么，利益相关者该如何识别既有益又相对不被约束的短期最佳实践呢？鉴于市场趋势可能无法反映未来的发展，组织又该如何信任第三方供应商所提供的AI解决方案呢？又或者，在大多数组织的团队中，谁应该对此做出最终决策？Whyte表示，自助法提供了较好的答案，并且可以被用来帮助利益相关者找到正确的AI使用理念。

提问：新技术该如何更好地用于升级现有运营？通常来说，我们往往会期望一个组织已经具备了相关的能力和经验，同时也希望他们能尝试各种新方法，并在两者之间择优。

Whyte对此表示：“一方面，依赖过去经验是最稳妥的选择，可能不是最佳实践，但至少保证了不会出错；另一方面，让团队尝试新技术可能会揭示新技术的利弊，也能在实际操作中看到技术趋势和新旧环境的差异。而自助法是第三种前进方式，其不需要从一开始就对AI等事物有大胆的想法或广泛的实验。”

Whyte介绍，相反，现实中的自助法意味着寻找某些事物的范式案例，比如AI采用了一个经典案例，该案例在危机期间对网络安全团队来说具有划时代的意义。“因此，我们会解构这些期望结果的理想化案例，以快速构建出易于采纳、可消耗且可定制的模型。”

Whyte表示，想要理解这种方法可以用“儿童学习”来进行类比。“当我们试图让幼儿理解数字时，幼儿通常不知道数字会如何驱动复杂的人类活动（例如统计分析）。相反，幼儿记住这些数字是通过各种数字歌曲。”

Whyte解释，这各式各样的数字歌曲就好比是一种占位符，其能使幼儿在听到这些歌曲时联想到相应的数字。随着时间的推移，这样的前后联想逐渐会变成一种能力：从物体到事物，从感兴到理性，从歌曲到手上的五根手指，再到具体的数字，等等。“最后，当孩子四到五岁时，他们掌握了数字背后更为复杂的概念，并可以将它们应用于各式各样的场景和计算中。”

显然，人类天生就具备“占位符学习”的能力，但这一点往往被组织所忽视。这些结构赋予了人类表达的能力，并随着时间的推移，使人类的思维过程逐渐能适应看待世界的新方式。

Whyte举例，假设有一家公司正处于安全事件后的响应阶段，其想在数据丢失防护（DLP）、消费者信息保护和客户参与度的交汇点上应用AI系统。“这很正常，因为将这些流程连接起来对所有类型的公司来说都很有意义。如此设置，AI就可以使用自然语言处理技术去监控和检测未经授权的敏感数据外泄，还可以通过行为分析发现数据访问中的异常模式。此外，面向客户的聊天机器人可以在事件发生后，迅速为消费者提供数据泄露的背景和相关信息。特别是在新兴的监管条件下，如最近欧盟已经通过的AI法案，就很容易理解为什么组织会需要交互式的AI能力。”

然而，Whyte还是强调了，其所带来的风险也是相当大的。显然，对于AI系统的实用性，人们普遍感到担忧。但更为关键的是，人们真正担心的是，自身的敏感信息会被用于数据训练，之后这些数据可能会因无意与消费者或第三方中介接触而被泄露。“现实中，往往一个小小的失误就可能会为潜在攻击者创造新的社会工程学手段。”

那么，该如何将不同的AI系统和传统能力相结合，以获得全新的效率并最小化责任？Whyte表示，对于自助法来说，其第一步是找到一个案例，该案例具备我们最想要的结果。

在自助法的第二步中，安全人员需要解构特定案例中的条件，这些条件很可能不适用于其他场景，但安全人员依然需要了解：哪些相互作用的条件使得AI系统能够提高效率并避免误报。

Whyte说：“也许我们会发现，这家阿尔巴尼亚公司，为了在最小化数据泄露风险的同时提高有效性，他们依赖于与网络安全合作伙伴共享资源，但只在时间有限且数据受限的条件下才部署响应工具，这些条件在没有人为仲裁者参与的情况下无法升级。”

自助法的第三步是剥离案例比较的情境、文化或其他背景，只留下与理想结果相关的抽象条件。安全团队得到的是一个关于AI特定采用案例的通用理论，可以与组织的运营需求进行比较。“而当两组条件相符时，其结果就是一个关于AI部署的狭义成功模型，这个模型充满了他人经验中的‘可行’与‘不可行’。”

Whyte表示，自助法是一种分析方法，其用于构建逻辑性强、可复制但仅适用于短期实践的理论知识。自助法为逐步了解类似AI这样的新技术奠定了基础，其使得组织无需真正投入或过渡引入一个全新的技术。

Whyte指出，安全团队可以通过多种方式进行自我评估。其中最有效的方法是将组织过去经历过的事件进行归纳和整理。“对于任何特定的亮点，是什么条件促成了成功？又是什么因素阻碍了实现更好的结果？当然，CISO们要记住，我们要学会剥离历史背景，尝试随着时间的推移概括出组织的普遍特征。”

同样的，分析那些与所在企业有相似背景的组织，对于定义这样的理论至关重要。Whyte表示，我们要将这种理论与实践过程中更狭窄的理想案例进行比较，看看有哪些相似之处或不同之处。

对于国外安全专家在安全领域中所提的“自助法”（bootstrapping），以及对于公司是否该使用新技术如AI等，国内安全专家如此建议。

某药业集团安全负责人陈欣炜表示，自助法，也就是拔靴法，统计学名词，在编程和数据分析有着广泛的应用。审核体系如ISO27001，每年只要不是全量审核，多年累积也是一种自助法。因为它是反复抽取随机样本，所以可能缩小偏差，也可能放大偏差，如同抛硬币连续正面或连续反面，对最终的结论反而可能会有影响。如果作为风险评估的辅助，则只能作为参考。

对于新技术的使用，陈欣炜指出，目前大多数行业均处于业务缩退期，对预算和人力带来更大的压力。因此更少的人力成本，更高的效率，更少的投入会成为今年和明年的重要目标。

陈欣炜说，对于传统行业来说，新技术往往需要更多的观望和观察效果，考虑性价比之后才会出手。因此他个人觉得新技术的应用在近年都会比较谨慎和集中爆发。

诸子云北京会长杨海青表示：“我认为这种方法具有前瞻性和实用性。它鼓励安全团队在不完全依赖于外部技术输入的情况下，通过自我学习和适应来提高自身的能力。这种方法有助于团队在面对未来不可预测的技术变革时，能够灵活调整和快速响应。此外，‘自助法’还提倡从理想案例中提取经验，构建理论，并将其应用于实际问题解决中。这种方法有助于团队在不完全理解技术细节的情况下，也能够有效地利用技术来达到预期的结果。”

对于公司是否该使用新技术或说该如何使用新技术，杨海青提出以下建议：