去年,生成式人工智能的采用率急劇上升����。雖然該技術(shù)有望實現(xiàn)創(chuàng)新和生產(chǎn)力�,但數(shù)據(jù)安全和泄露的風險卻困擾著組織���。與生成式人工智能相關(guān)的一些風險包括數(shù)據(jù)濫用��、數(shù)據(jù)泄露和數(shù)據(jù)中毒����。這是因為生成式人工智能是一種大型語言模型(LLM)��,它依賴于大量數(shù)據(jù)來產(chǎn)生輸出�。隨著人工智能的日益普及和發(fā)展,理解和減輕固有風險對組織來說變得越來越重要�。
與人工智能相關(guān)的三大風險
大多數(shù)生成式人工智能風險源于用戶如何提出提示以及工具如何收集���、存儲和處理信息���。以下是與生成式人工智能工具相關(guān)的三個主要風險���。
數(shù)據(jù)泄露風險
生成式人工智能系統(tǒng)通過大型數(shù)據(jù)集和用戶提供的提示來學(xué)習和改進。提示用于立即分析����,并且通常保留在人工智能的后端中,以供將來的訓(xùn)練和模型優(yōu)化���。它們也經(jīng)常由人類操作員進行分析���。這帶來了無意中暴露敏感信息的潛在風險。
與此類人工智能工具交互的員工���,可能會在不知不覺中在提示中泄露機密或敏感細節(jié)�。例如����,最近發(fā)生的一起事件顯示,三星員工將機密代碼上傳到ChatGPT��,從而暴露了企業(yè)最敏感的信息�。他們還使用ChatGPT創(chuàng)建會議記錄和總結(jié)業(yè)務(wù)報告,無意中泄露了機密信息�����。
雖然這只是一個例子�����,但在很多情況下�����,員工在不知情的情況下將敏感信息上傳到人工智能軟件��,使企業(yè)的數(shù)據(jù)面臨風險�����。
人工智能工具中的漏洞
與任何軟件一樣���,生成式人工智能工具也不能免受安全漏洞的影響�����。這些漏洞可能會給用戶數(shù)據(jù)和更廣泛的系統(tǒng)安全帶來重大風險����。一些潛在的違規(guī)行為包括:
數(shù)據(jù)泄露:人工智能系統(tǒng)存儲大量信息數(shù)據(jù)集,如果黑客利用漏洞�����,并滲透托管生成人工智能工具的計算機系統(tǒng)或網(wǎng)絡(luò)�,這些信息可能會面臨風險。這樣����,黑客就可以訪問敏感數(shù)據(jù),包括用戶生成的提示����、企業(yè)內(nèi)部文檔等。
模型操縱:惡意行為者可能操縱人工智能模型�,可能導(dǎo)致有偏見或不準確的輸出、錯誤信息活動或有害內(nèi)容�����。
數(shù)據(jù)中毒或竊取
生成式人工智能模型嚴重依賴的數(shù)據(jù)集通??梢詮幕ヂ?lián)網(wǎng)上抓取,從而使數(shù)據(jù)容易受到數(shù)據(jù)中毒和竊取�����。
數(shù)據(jù)中毒是指惡意威脅行為者將誤導(dǎo)性或錯誤的數(shù)據(jù)注入現(xiàn)有的訓(xùn)練集中,從而破壞或操縱人工智能的學(xué)習過程����。這可能會導(dǎo)致有偏見�����、不準確甚至有害的用戶輸出��。
當人工智能組織缺乏足夠的數(shù)據(jù)存儲和安全措施時����,可能會發(fā)生數(shù)據(jù)竊取,從而可能暴露敏感的用戶信息或?qū)S兄R產(chǎn)權(quán)����。這些被盜數(shù)據(jù)可用于各種惡意目的,例如身份盜竊���。
使用生成式人工智能帶來的另一個困境是黑客利用該技術(shù)進行威脅��。黑客使用生成式人工智能發(fā)起高度復(fù)雜的網(wǎng)絡(luò)釣魚攻擊����,用戶無法區(qū)分合法電子郵件和黑客編寫的電子郵件,從而導(dǎo)致網(wǎng)絡(luò)攻擊����。威脅行為者還利用人工智能進行深度虛假攻擊,利用合法機構(gòu)的面部表情�、聲音或音頻來操縱目標采取某些行動或泄露敏感信息。
如何降低生成式人工智能風險���?
組織可以通過以下幾種方式減輕生成式人工智能風險并安全地利用該技術(shù)�����。
教育員工:最關(guān)鍵的一步是教育員工了解使用人工智能工具的潛在風險��。對收集�、處理和存儲信息的教育可以使他們正確地進行提示����。組織可以通過制定人工智能使用指南并提及該行業(yè)所需的合規(guī)性或監(jiān)管指南來防止數(shù)據(jù)泄露和其他相關(guān)攻擊。
進行法律審查:每個人工智能工具都有其規(guī)定��。這些需要由組織的法律部門進行審查,以確保它們保持一致�。對于金融服務(wù)或醫(yī)療保健等受到嚴格監(jiān)管的行業(yè)來說,這一點更為重要�����。法律團隊可以就數(shù)據(jù)收集�����、存儲和使用條款和條件向公司發(fā)出警告����,并查看它們是否與公司一致���。
保護用于訓(xùn)練人工智能的數(shù)據(jù)和數(shù)據(jù)集:數(shù)據(jù)安全應(yīng)該是構(gòu)建自己的生成人工智能工具的組織的首要任務(wù)��。他們必須優(yōu)先考慮符合預(yù)期目的的數(shù)據(jù)���,并避免在數(shù)據(jù)選擇時引入偏見或敏感信息。匿名信息也至關(guān)重要��,因為它可以最大限度地降低識別個人的風險�,同時保留人工智能模型的數(shù)據(jù)實用性。組織還應(yīng)通過建立明確的數(shù)據(jù)治理策略和訪問控制機制來優(yōu)先考慮數(shù)據(jù)安全措施����,以限制只有授權(quán)人員才能訪問敏感數(shù)據(jù)�����。
建立零信任系統(tǒng):組織可以通過采用零信任安全模型�,僅向需要執(zhí)行任務(wù)的特定員工授予對敏感數(shù)據(jù)和信息的訪問權(quán)限���。這種精細控制顯著減少了整體攻擊面��,并防止了心懷不滿的員工或意外錯誤可能導(dǎo)致操作人工智能工具時數(shù)據(jù)泄露或盜用的情況����。
結(jié)論
生成式人工智能憑借其自動化任務(wù)����、生成獨特內(nèi)容和個性化用戶體驗的能力,有可能徹底改變行業(yè)���。然而���,它也伴隨著固有的風險。其中包括數(shù)據(jù)隱私問題、偏見和濫用的可能性����。
通過預(yù)防措施來應(yīng)對風險,而不是阻止生成式人工智能的使用�,將使組織能夠充分利用這項技術(shù)。通過實施強有力的安全措施���、促進負責任的數(shù)據(jù)治理實踐和優(yōu)先考慮用戶教育���,可以減輕這些風險。
沃卡惠
