人們驚訝于這些工具提高了知識和準確性,也驚嘆于它們可以幫助創(chuàng)造的時間節(jié)約。同樣令他們驚訝的是,引擎沒有線索,有時提供的是胡說八道的答案或幻覺,因此被證明是浪費時間——但這不會持續(xù)太久。
詢問AI引擎的意想不到的后果很快就露出了丑陋的頭,2023年初三星發(fā)生的事件就證明了這一點,三星發(fā)現(xiàn)商業(yè)機密被隨意上傳到ChatGPT。雖然這些信息顯然是積極的,但這些商業(yè)秘密已經(jīng)不再是秘密,因為它們已經(jīng)與ChatGPT的母公司OpenAI共享,任何提出類似查詢的人都可能(假設)從工程師的輸入中受益。
影子AI的迅速崛起應該不足為奇
在我看來,三星以完全正確的方式處理了這一發(fā)現(xiàn)。很糟糕,我們不能讓這種事情再次發(fā)生,我們需要發(fā)展自己的內(nèi)部能力,這樣商業(yè)秘密才能保密。
對所有人來說,包括那些在信息技術(shù)提供和支持方面幾乎沒有經(jīng)驗的人來說,很明顯,當AI引擎應用于大眾時,形成風險之河的源頭有了一個新的母源:AI查詢引擎。影子IT有一個新兄弟,影子AI。
Wiz數(shù)據(jù)和威脅研究主管Alon Schindel表示,影子AI的到來不應該真的令人驚訝,他分享了它是如何類似于“五到十年前的云:每個人都在某種程度上使用它,但很少有人有管理它的流程。”
Schindel告訴記者:“在創(chuàng)新的競賽中,開發(fā)人員和數(shù)據(jù)科學家經(jīng)常在沒有安全團隊監(jiān)督的情況下,將新的AI服務引入他們的環(huán)境,從而無意中創(chuàng)建了影子AI。由于缺乏可見性,很難確保AI管道的安全,也很難防范AI的錯誤配置和漏洞。不恰當?shù)腁I安全控制可能會導致重大風險,因此將安全嵌入AI管道的每一個部分是至關(guān)重要的。”
每家公司都應該對GenAI做三件事
解決方案,是非常常識性的。我們只需回顧一下Code42的CISO Jadee Hanson在2023年4月分享的內(nèi)容,他專門針對三星的體驗發(fā)表了講話:“ChatGPT和AI工具可以非常有用和強大,但員工需要了解哪些數(shù)據(jù)適合放入ChatGPT,哪些不適合,安全團隊需要適當?shù)亓私馄髽I(yè)發(fā)送到ChatGPT的內(nèi)容。”
我采訪了Imperva的數(shù)據(jù)安全高級副總裁兼現(xiàn)場CTO特里·雷,他分享了他對影子AI的看法,提供了每個實體都應該已經(jīng)在做的三個關(guān)鍵要點:
·建立對每個數(shù)據(jù)倉庫的可見性,包括“以防萬一”儲存起來的“影子”數(shù)據(jù)庫。
·對每一項數(shù)據(jù)資產(chǎn)進行分類——有了這些,人們就知道了一項資產(chǎn)的價值。(花費100萬美元來保護一項過時或價值低得多的資產(chǎn)有意義嗎?)。
·監(jiān)控和分析——觀察數(shù)據(jù)移動到不屬于它的位置。
了解你的GenAI風險承受能力
同樣,SkyHigh Security的全球云威脅主管羅德曼·拉梅贊也指出了了解個人風險承受能力的重要性,他警告說,那些沒有注意到大型語言模型驚人快節(jié)奏傳播的人,肯定會大吃一驚。
他認為,僅有護欄是不夠的,必須培訓和指導用戶如何使用已批準的AI實例,并避免使用未經(jīng)批準的實例,這種培訓/指導應動態(tài)和循序漸進地提供,這樣做將隨著每個增量的增加而改善整體安全態(tài)勢。
負責保護公司數(shù)據(jù)的CIO,無論是知識產(chǎn)權(quán)、客戶信息、財務預測、上市計劃等,都可以接受或追逐。如果他們選擇后者,他們可能還希望為事件響應的上升做好準備,因為會有事件發(fā)生。如果他們選擇前者,他們將面臨艱巨的任務,因為他們將整個企業(yè)進行工作,并決定哪些產(chǎn)品可以引入內(nèi)部,就像三星正在做的那樣。
GenAI是不可避免的,所以要準備好管理它的流動
識別和緩解使用AI工具的潛在風險的方法是與企業(yè)內(nèi)的各種實體充分接觸,并為運營的每個方面創(chuàng)建政策和程序以及使用AI的途徑。緊隨其后的是非常明顯地需要創(chuàng)建和實施員工/承包商教育和實踐練習。CISO和他們的企業(yè)可以支持、支持、識別安全三角洲,并提出建議來緩解可能發(fā)生的情況,并為那些自由飛行的人系好安全帶。
雷為CIO們補充了一些非常及時的思考的基礎,尤其是在招聘真正具有競爭力的時代,并保留了“網(wǎng)絡招聘”的格局,這個領域的新員工必須能夠使用可用的工具并構(gòu)建自己的工具,使用AI來幫助完善它們。
畢竟,AI是一種力量倍增器,應該利用它來做好事,但是,在你接受這個概念的同時,你還必須接受AI認證、政策和程序,最重要的是要對它在哪里和如何使用保持警惕。企業(yè)尤其需要知道和保護他們的“奶酪”——獲獎物品的位置。
選擇權(quán)掌握在CISO手中——你可以嚴密鎖定并徹底禁止聊天機器人,采取似乎所有正確的步驟來防止影子AI,然而,就像水從基巖中滲出一樣,用戶將找到一種方法來利用它。通過確保有必要的渠道讓水安全可靠地流動,明智的CISO將得到很好的服務。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號