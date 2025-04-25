生成式 AI 为企业带来了变革性机遇，但也引入了必须有效管控的严重安全风险。采用 AI 驱动技术加剧了人们对数据隐私、未经授权的访问、对抗性威胁以及治理复杂性的担忧。随着组织将 AI 集成到其工作流中，有必要采取一种结构化的安全方法，以在发挥 AI 优势的同时降低风险。
本文将从两个关键参考点审视 AI 安全：
深入了解这两个参考点有助于提供一个全面的指南，在利用 AI 增强网络安全防御的同时，降低生成式 AI 平台的安全风险。组织应采用多层安全策略，遵守法规要求，并利用 AI 驱动的自动化来保持对不断演变的网络威胁的弹性。
生成式 AI 的快速采用带来了组织不容忽视的创新和安全挑战。从防御性（增强 AI 平台的安全性）和进攻性（采用 AI 增强网络安全）两个角度理解 AI 安全至关重要，原因如下：
通过考量这些视角，组织可以在降低风险、保持合规并增强其整体网络安全态势的同时，安全地利用 AI 的强大功能。
低生成式 AI 平台（尤其是 LLM）的安全风险，对于帮助防止重大安全漏洞并保护生成内容的隐私性、准确性与合法性至关重要。基于 IBM 与欧洲各地客户合作中的实际经验，已识别出若干关键风险以及缓解这些威胁的应对措施：
这六大严重安全风险及相应应对措施，构成了增强生成式 AI 平台安全性的重要组成部分。通过主动应对这些问题，组织有助于防止数据泄露、保护敏感信息，并提升其 AI 应用的整体完整性和可靠性。
开发生成式 AI 应用程序的大型企业，通常使用托管在云平台（如 Microsoft Azure、IBM® Cloud、Google Cloud 和 Amazon Web Services）上的预构建 LLM 服务。
在应对与 LLM 相关的六大严重安全风险后，审查基础设施的漏洞至关重要。建议的风险管理方法应包括：将任何已识别的风险映射到具体威胁，并将其与特定安全控制措施相关联，以便在云平台层面采取预防性和检测性措施。此流程包括列出风险、将其映射到威胁、将控制措施归类到五个安全域，并建立合规机制（通常通过云服务实现自动化）。最终产出是一份详细说明团队在实施和验证安全控制方面职责的 RACI 责任分配矩阵。
为有效管理企业 AI 计划，首席信息安全官 (CISOS) 应采纳五项关键原则：
· 管理对不断演变的 AI 法规的合规性
· 通过了解分担责任模型来保护托管 LLM 平台
· 为业务团队及数据处理负责人等利益相关方明确界定职责
· 建立 AI 事件管理流程，应对新型网络威胁
· 开展宣传活动，教育员工负责任地使用生成式 AI 工具，在全组织内培育安全与协作文化
生成式 AI 正在通过提供用于主动防御和漏洞管理的先进工具，彻底改变网络安全格局。虽然关于 AI 变得恶意的担忧（如“天网”概念）可能显得夸张，但生成式 AI 重塑网络安全的潜力是不可否认的。
生成式 AI 引入了超越传统防御方法的新颖能力。它增强了攻击模拟，自动化安全任务，生成逼真的训练数据，并支持漏洞管理。通过分析复杂的数据模式并生成可操作的洞察，生成式 AI 为应对不断演变的网络威胁提供了显著的效率。尽管生成式 AI 可以助力网络安全的多个方面，但其发挥重要作用的一些关键领域包括：
例如，在云环境中运营的组织可以使用生成式 AI 将漏洞关联到具体服务，从而更高效地确定优先级和分配修复任务。生成式 AI 的动态学习能力还支持持续适应不断演变的云环境，使其成为管理云原生应用程序漏洞不可或缺的工具。下图描绘了生成式 AI 如何改变漏洞管理和安全工作流。
生成式 AI 与漏洞管理中的安全工作流
生成式 AI 使组织能够通过精简工作流程、加快响应时间和增强漏洞管理来改进其网络安全工作，特别是在复杂的云环境中。
优先考虑用于网络安全的 AI 研发，对于创新和抵御新出现的威胁至关重要。LLM 已被证明在决策过程中具有重要价值，并且它们在政策执行方面也具备发挥作用的潜力。通过理解海量数据，LLM 可能实时增强网络防御机制。然而，必须谨慎对待这一转变，并考虑其伦理、隐私和监管方面的影响。
产业界、政府和学术界之间的合作是释放生成式 AI 在网络安全领域全部潜力的关键。这种统一的方法有助于保护数字资产，并促进安全的网络环境。在我们持续应对数字时代复杂性的过程中，采用生成式 AI 的进步为增强网络防御能力、确保更安全、更具弹性的未来提供了充满希望的途径。
关于增强生成式 AI 安全性的最佳实践正在不断发展，需要一个涵盖身份验证、数据隐私、对抗性防御、伦理合规和持续监控的综合方法。必须全面看待安全性，不仅从技术角度，还要关注伦理考量和监管合规。随着威胁形势的演变，网络安全措施必须做出相应调整，以有效保护生成式 AI 和 LLM，防范新出现的风险。