《電子技術應用》
您所在的位置:首頁 > 人工智能 > 解決方案 > 派拓網(wǎng)絡:潛伏在企業(yè)中的AI風險

派拓網(wǎng)絡:潛伏在企業(yè)中的AI風險

2024-07-11
作者:Anand Oswal,派拓網(wǎng)絡高級副總裁兼網(wǎng)絡安全總經理
來源:派拓網(wǎng)絡
關鍵詞: 派拓網(wǎng)絡 AI

如今,市場上有成千上萬種生成式人工智能(GenAI)工具,每月都有幾十種新的AI應用推出。事實上,一半以上的員工很可能已經在使用它們提高工作效率,而且隨著更多AI應用和AI用例的出現(xiàn),AI應用的采用率預計還會增加。

問題在于這些第三方生成式AI應用大多未經審查或批準就被用于工作,這會給企業(yè)帶來嚴重的風險。IT和信息安全團隊必須對企業(yè)技術生態(tài)中所使用的第三方應用進行審查和批準,這是因為他們需要了解正在使用的應用、這些應用是否安全,以及有哪些敏感的公司數(shù)據(jù)(如果有的話)進入了這些應用。他們還要考慮應用開發(fā)商如何處理漏洞等問題,以及有哪些控制措施可以將訪問權限限制或控制在僅限員工開展工作所需的范圍內等事項。

采用未經許可的生成式AI應用會導致數(shù)據(jù)泄露、惡意軟件等一系列網(wǎng)絡安全問題。這是因為企業(yè)不知道誰在使用什么應用、哪些敏感信息會進入這些應用,以及這些信息進入應用后會發(fā)生什么。而且由于并非所有應用都是按照合適的企業(yè)安全標準構建的,因此它們也可能會提供惡意鏈接,并成為攻擊者進入企業(yè)網(wǎng)絡訪問系統(tǒng)和數(shù)據(jù)的入口。所有這些問題都可能導致違規(guī)、敏感數(shù)據(jù)泄露、知識產權被盜、運營中斷和經濟損失。雖然這些應用可以帶來巨大的生產力,但如果使用不安全,它們也會導致嚴重的風險和潛在后果,例如:

·營銷團隊使用了一個未經許可的應用,該應用能夠使用AI生成精彩的圖像和視頻內容。如果團隊將敏感信息加載到該應用中,導致機密產品發(fā)布細節(jié)泄露,會發(fā)生什么情況?答案是您不愿看到的“病毒式”傳播。

·項目經理使用AI賦能的筆記應用抄錄會議內容并生成摘要。但如果記錄的內容包含財報公布前對季度財務業(yè)績的機密討論內容,會發(fā)生什么情況?

·開發(fā)人員使用AI助手和代碼優(yōu)化服務加快產品構建。但如果從被入侵的應用中返回的優(yōu)化代碼包含惡意腳本,該怎么辦?

這些只是出于善意使用生成式AI而在無意中增加風險的冰山一角。但不使用這些技術可能會降低企業(yè)獲得競爭優(yōu)勢的能力,因此“一刀切”并不是解決問題的辦法。企業(yè)可以而且應該考慮如何讓員工安全地使用這些應用。以下是一些需要考慮的因素:

可見性:人們無法保護自己不知道的東西。IT團隊在使用未經許可的應用時面臨的最大挑戰(zhàn)之一是難以及時應對安全事件,而這增加了出現(xiàn)安全漏洞的可能性。企業(yè)需要監(jiān)控第三方生成式AI應用的使用情況,并了解與每個工具相關的特定風險。在了解正在使用哪些工具的基礎上,IT團隊還應了解哪些數(shù)據(jù)正在進出企業(yè)系統(tǒng)。這種可見性有助于企業(yè)發(fā)現(xiàn)安全漏洞,并快速識別和糾正。

控制:IT團隊需要能夠就是否阻止、允許或限制訪問第三方生成式AI應用做出明智的決定,他們可以單獨控制每個應用,也可以根據(jù)風險或類別進行控制。例如,企業(yè)可能想要阻止所有員工訪問代碼優(yōu)化工具,但同時又想讓開發(fā)人員訪問經信息安全團隊評估并批準供內部使用的第三方優(yōu)化工具。

數(shù)據(jù)安全:員工是否與應用共享敏感數(shù)據(jù)?IT團隊需要阻止敏感數(shù)據(jù)泄露,保護數(shù)據(jù)不被濫用和竊取。這一點對于受到監(jiān)管和受數(shù)據(jù)主權法律約束的企業(yè)尤為重要。在實踐中,這意味著需要監(jiān)控發(fā)送到生成式AI應用的數(shù)據(jù),然后采取技術控制手段確保敏感數(shù)據(jù)和受保護的數(shù)據(jù)(如個人身份信息和知識產權等)不會被發(fā)送到這些應用。

威脅防范:團隊正在使用的生成式AI 工具可能潛伏著漏洞。鑒于許多此類工具的開發(fā)和上市速度快得驚人,團隊往往不知道所使用的模型是否使用損壞的模型構建而成、是否是在不正確或惡意數(shù)據(jù)上訓練而成,亦或是否存在大量AI特有的漏洞。建議采取的最佳做法是對從應用流向企業(yè)的數(shù)據(jù)進行監(jiān)控,以防出現(xiàn)惡意和可疑活動。

盡管AI工具在實現(xiàn)員工工作效率最大化方面具有驚人的潛力,并且能夠使企業(yè)實現(xiàn)營收和利潤的雙增長,但它們也隱藏著我們前所未見且更加復雜的新風險。企業(yè)領導者及其IT團隊有責任讓員工能夠放心地使用AI工具,同時為他們提供宣傳教育、可見性、控制措施、數(shù)據(jù)保護、威脅防范等保護手段。當安全團隊知道正在使用什么以及如何使用時,他們就可以防止敏感數(shù)據(jù)泄露,并防范潛伏在不安全和被入侵AI平臺內部的威脅。

5ebfc6ef0e82c9915228c13531c8d074.jpg

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。