對于GenAI的潛力,高管的看法對許多CISO來說猶如迷人的海妖之歌。
根據NTT Data最近的一項調查,89%的高管“非常擔心與GenAI部署相關的潛在安全風險”,但報告發現,這些同樣的高管認為“GenAI的潛力和投資回報率超過了風險”——這種情況可能讓CISO成為風險管理理性聲音中的孤勇者。
而且,這可能已經產生了負面影響,因為根據調查,近一半的企業CISO“對GenAI持負面看法”,感到“壓力重重、受到威脅、不堪重負”。
這種沖突并不陌生,高管們向業務部門負責人施壓,要求他們采用新技術以提高效率并提升業績,但GenAI是一項風險極高的業務——可以說比迄今為止的任何技術風險都高,它會產生幻覺、繞過防護欄、危及合規性,并吞噬敏感的企業數據,而企業在未進行適當安全加固的情況下迅速接納它,同時受到供應商推動,這些供應商強調功能而非安全。
Moor Insights & Strategy的副總裁兼首席分析師Will Townsend表示:“這是蠻荒的西部,大量的AI應用和大型語言模型選擇讓人難以審查哪些是安全的,還有一些應用看似合法,實則是數據外泄和勒索軟件攻擊的陰謀。”“對數據泄露的擔憂是真實的,我們已經看到這種情況發生,同時伴隨著通過提示注入攻擊引入惡意代碼。”
Townsend表示,CISO面臨的最棘手的GenAI問題之一是,許多GenAI供應商在選擇用于訓練模型的數據時過于隨意。“這會給企業帶來安全風險。”
資深安全領導者Jim Routh曾在Mass Mutual、CVS、Aetna、KPMG、American Express和JP Morgan Chase擔任過CISO級別的職務,他表示,GenAI滲透到SaaS解決方案中使問題更加嚴重。
如今擔任安全供應商Saviynt首席信任官的Routh表示:“GenAI的攻擊面已經改變。過去是企業用戶使用最大供應商提供的基礎模型。如今,數百個SaaS應用程序嵌入了大型語言模型(LLM),并在企業中廣泛使用,軟件工程師在HuggingFace.com上有超過100萬個開源LLM可供使用。”
Robert Taylor是一名專注于AI和網絡安全法律策略的律師,并在達拉斯的知識產權律師事務所Carstens, Allen & Gourley擔任法律顧問,他表示,他在各種規模的企業中各層級都看到了一個共同的主題。
Taylor說:“他們不知道自己不知道什么,至少CISO已經準備好考慮風險,并對AI帶來的安全風險有所了解,但AI帶來了許多新的安全風險,他們正在努力應對,有一些項目正在評估GenAI產生的多種類型的安全風險,我聽說安全風險類別數以百計,甚至遠遠超過一千種。”
Townsend推測,所有這些都可能對CISO的心理產生負面影響。“當他們感到不堪重負時,他們就會放棄,”他說,“他們會做自己覺得能做的事,而忽略那些他們覺得無法控制的事。”
問題日益加劇
與此同時,在高管們不斷推進的同時,讓他們的CISO因風險而不堪重負,而攻擊者則在迅速行動。
Taylor表示:“不法分子正在狂熱地試圖以惡意方式利用這些新技術,因此CISO們有理由擔心這些新的GenAI解決方案和系統如何被利用。”“GenAI解決方案不是傳統的軟件和服務,它們有一些其他技術不必應對的漏洞。”
Taylor認為,更糟糕的是,與傳統技術風險相比,GenAI的風險更加無形且不斷變化。
Taylor說:“GenAI在部署后會繼續變化,這進一步增加了安全風險的機會,如提示注入、數據投毒以及從與GenAI共享的信息中提取機密信息或個人身份信息(PII)。”
Forrester的副總裁兼首席分析師Jeff Pollard指出,特別是提示安全,“如果企業有面向客戶或面向員工但影響客戶的提示,可能導致未經授權的數據訪問或披露,那么提示安全就是立即且必要的。”
Pollard表示,而且這個問題很快就會變得更加嚴重。“重要的是現在就要學會如何保護這些,因為這是第一個可能在企業中廣泛部署的GenAI版本。具有主體性的AI很快就會到來——如果它還沒有到來的話,這將需要這些控制措施以及更多措施來確保正確安全。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號