亚马逊云科技:生成式AI的两面性带来企业安全思考
来源:环球网
【环球网科技报道记者李文瑶】根据Gartner的最新预测,2024年全球终端用户在公有云服务上的支出预计将达到6754亿美元,较2023年的5610亿美元增长20.4%。推动这一增长的两大因素是生成式人工智能(GenAI)和应用现代化改造。
其中,生成式AI正在成为任何人都无法忽视的生产力变量。在它的面前,以往的知识与技能壁垒开始松动甚至坍塌,并为各领域机构的创新带来新的无穷可能性。
由此而来的是,企业利用生成式AI进行业务创新的同时也不免面临新的隐忧。例如,企业或机构向生成式AI模型提供数据——很可能是涉及核心业务及客户信息等关键数据——是否能被妥善地保管、使用,及进行必要的隔离;还有生成式AI的一些“固有问题”,如怎样实现负责任的AI,过滤有害内容,确保内容符合当地及企业政策等问题……
生成式AI带来全新安全挑战
生成式AI时代,数据安全不仅是技术挑战,更是企业能否合规、信任、竞争力、创新与生存基石。
通常情况下,规模化生成式AI应用都发生在云端,更多企业机构也将依赖于云开展生成式AI的业务创新。因此,我们可以将生成式AI的安全话题,看作是对云计算安全提出的新挑战。
对此,亚马逊首席安全官SteveSchmidt在接受《华尔街日报》采访时表示,企业为了安全地使用生成式AI,首先应考虑三个问题:
第一个是考虑数据在哪里?企业需要知道用数据训练模型的整个工作流程中,这些数据来自哪,以及是如何被处理和保护的。
第二个是考虑如何处理模型推理时的输入和输出数据?训练数据并不是企业需要关注的唯一敏感数据集,企业查询本身也应该成为数据保护计划的一部分。
第三个是考虑生成式AI模型的输出是否准确?不同的生成式AI的使用场景对准确度和风险的要求不同。如果企业正在使用大型语言模型来生成代码,那么企业就必须要确认这个代码是否写得足够好,是否遵循了企业的最佳实践等等。
SteveSchmidt认为,在最开始阶段编写更加安全的代码是生成式AI带来的重大影响,对任何企业包括亚马逊都是如此。从安全和成本的角度来看,一开始就编写安全的代码,比在编写完成后、已经进行了集成测试,甚至交付给客户后再去修改要好得多。可以说,代码的编写方式是信息安全中最大的杠杆因素之一,开始阶段的小问题可能导致严重的安全后果,而生成式AI在这方面确实非常有帮助。AmazonQDeveloper不仅能极大提升开发者的编码效率,而且还能让代码更加安全。它内置了安全扫描功能,能够扫描代码以检测难以发现的漏洞,并根据客户的代码,提供专属修复建议,帮助开发者及时快速修复该漏洞。
而目前,亚马逊云科技对客户生成式AI的保护始于其基础设施。亚马逊云科技独有的云服务器虚拟化引擎AmazonNitro将主机CPU/GPU的I/O功能卸载至专门的硬件上,不但提供了更加一致的性能,其增强的安全性可以在客户端和云端全程保护客户的代码和数据在处理过程中的安全。
SteveSchmidt说,“我认为利用生成式AI提升安全代码的编写工作能够有效地推动整个行业进入更高级别的安全领域。”
生成式AI的两面性:带来风险的同时也能防范风险
事实上,对于云计算用户来说,数据与隐私安全并非生成式AI带来的“新话题”。但生成式AI也确实带来了像“负责任的AI(ResponsibleAI)”这种AI时代独有的安全考验。当企业在使用AmazonBedrock这类生成式AI服务时,不得不考虑过滤有害内容,确保内容符合当地及企业政策等问题。
为此,从云服务的角度来看,亚马逊云科技AmazonBedrock配备了帮助客户实施负责任AI的防护机制(GuardrailsforAmazonBedrock)。相比于一些AI大模型仅通过内部控制模块来过滤内容,AmazonBedrock的防护机制能让客户进一步定制AI应用程序,以便符合不同标准的内容政策。
值得关注的是,在云环境中,生成式AI并不仅仅是“被保护者”,它本身也能成为提升安全的强大工具,从业务初期就能揭示那些潜伏的、未被意识到的风险。
SteveSchmidt举例称,代码编写方式是信息安全中最大的变量之一,一些小问题就可能导致严重的安全后果。包括生成式AI模型本质上也是代码,也可能因为代码编写的漏洞而存在安全隐患。从安全角度来看,从一开始就编写出安全的代码,无疑比在编写完成后,已经进行了测试,甚至已经交付后再去修改要好得多。
为了帮助云计算客户达成符合安全需求的代码编写,亚马逊云科技将AI能力运用到代码生成器上,以服务或功能的方式提供给客户。一些原有的安全服务也正在逐渐通过生成式AI获得新的功能。例如漏洞管理服务AmazonInspector,它的AmazonLambda函数代码扫描功能从去年开始使用生成式AI和自动推理的辅助代码修复,以简化更新易受攻击代码的过程。AmazonDetective也在去年增加了使用生成式AI来构建安全事件描述的能力。生成式AI可以自动分析调查发现组并以自然语言提供洞察,帮助安全工程师加快安全调查。
Gartner预测,到2025年,生成式AI的采用将导致企业机构所需的网络安全资源激增,使应用和数据安全支出增加15%以上。而这些基于生成式AI的创新服务和新的升级,为安全工作创造了更便捷、更高效的新可能。