安全利用 AI 工具的 3 个步骤

快速阅读: 据《硅共和集团》最新报道，皮埃尔·萨姆松讨论了人工智能从炒作到现实的转变，指出数据问题和安全挑战导致许多项目受阻。他强调，企业需谨慎选择工具并确保安全性，安全团队应在评估和部署过程中发挥核心作用，以避免引入新的安全漏洞。通过制定明确的政策和加强跨部门协作，组织可在保障安全的同时充分利用人工智能的优势。

皮埃尔·萨姆松讨论了人工智能采用曲线——从炒作到艰难的现实，希望能引导我们走向更安全、更有影响力的途径。过去几年里，人工智能主导了科技议程，因为公司们急于采用承诺提高效率、自动化和降低成本的技术。然而，在2024年期间，现实开始显现。数据质量问题、成本上升和安全问题让许多组织重新审视其人工智能集成策略。我们现在处于一个阶段，企业正在重新评估这些工具是否能够长期产生价值，因为预期的回报并没有像预期那样迅速实现。在2024年数据与分析峰会上，加特纳预测，由于投资回报率（ROI）缺乏实质性的成果，到2025年，所有生成式人工智能（生成式AI）项目中将有30%被废弃。尽管如此，人工智能依然具有巨大潜力，如果企业采取审慎的方法选择工具并采取预防措施确保安全性是决策过程的核心。评估人工智能工具有一件事很清楚：黑客总是在瞄准新技术。从一开始，您的安全团队必须参与新软件的评估，从选择到部署。如果没有这种监督，新的人工智能工具可能会引入显著的安全漏洞，特别是在整合到现有基础设施时。通过提前问对问题，安全领导者可以确保人工智能工具满足运营需求和安全标准。最重要的一个方面是评估该工具如何处理、存储和传输数据。安全团队必须确定该工具是否需要访问敏感或个人身份信息（PII），并检查用于静态和传输中的数据的加密方法。供应商应提供强有力的隐私政策，组织应确保有充分的数据卫生措施到位，包括匿名化和定期清除数据以降低风险。任何软件都应具备的基础安全措施必须到位，以防止未经授权的访问或利用，并且团队需要确保部署的人工智能遵循严格的安全措施以避免未经授权的访问。这包括实施多因素认证（MFA）、应用基于角色的访问控制以及维护详细的用户活动日志。每个健全的网络安全风险管理程序都必须包括漏洞管理程序，以确保识别并修复软件缺陷。然而，在快速发展的人工智能领域，这带来更多挑战，因为传统的风险评估和补丁应用实践并不那么明确，特别是对于高度定制化的人工智能工具。虽然漏洞披露框架正在修订，但安全团队需要承担更大的责任来评估风险，并确保将人工智能工具纳入其漏洞管理计划。每个健全的网络安全风险管理程序都必须包括漏洞管理程序，以确保识别并修复软件缺陷。然而，在快速发展的人工智能领域，这带来更多挑战，因为传统的风险评估和补丁应用实践并不那么明确，特别是对于高度定制化的人工智能工具。应对变幻莫测的监管环境在人工智能采用过程中，应对变幻莫测的监管环境是一个重大挑战，因为数据必须依据不同州、行业类型及数据集（如GDPR、CCPA或HIPAA）遵守严格的数据保护法律，以确保敏感信息得到保护。在欧盟运营的公司还需要考虑到新的《欧盟人工智能法案》，该法案于2024年8月生效。该法案要求人工智能开发者和供应商提供更高的透明度，并寻求根据风险对工具进行分类。高风险使用案例，如医疗诊断，将面临更严格的关于数据收集、使用和保护的要求。了解所开发和部署的工具属于哪个风险类别对于合规至关重要。建立指南尽管存在挑战，许多组织仍在继续推进人工智能项目，决心挖掘其潜力。安全团队不得不迅速适应，提供恰当的指导。这需要跨部门协作，安全团队需要与人力资源和其他关键业务部门密切合作，以识别风险并指导人工智能项目，尤其是在数据隐私方面。指南应明确哪些工具适合业务应用场景，如何应用这些工具以及输入何种数据。明确的政策将减少不安全的人工智能工具进入商业环境的可能性，或因使用不当而引发的法律和合规问题。最终，人工智能提供了巨大的优势，但只有当安全团队保持警惕和主动监督时才能实现。通过将人工智能融入强大的安全框架，组织可以在保障安全的前提下获得创新的回报。

作者：皮埃尔·萨姆松

皮埃尔·萨姆松是网络安全漏洞管理公司Hackuity的首席营收官。他在帮助企业数字化转型和提升其网络安全态势方面拥有20年的经验。

不要错过你需要成功所需的知识。订阅《每日简报》，这是Silicon Republic的科技新闻摘要。

(以上内容均由Ai生成)