安全使用生成式人工智慧，亞馬遜首席安全官的 3 個問題和 3 個提示

[TechWeb]4 月 16 日消息：近日，亞馬遜首席安全官 Steve Schmidt 接受《華爾街日報》採訪，就 Generative AI 時代企業安全熱點話題發表了自己的看法，並提出了可行的建議。

史蒂夫·施密特

Steve Schmidt 於 2010 年加入亞馬遜，擔任亞馬遜雲端技術資訊安全長長達 12 年。 他自2022年起擔任亞馬遜首席安全官。

身為雲端運算領域的創辦人和領導者，安全性是亞馬遜雲端技術的首要任務。 亞馬遜雲端技術借鑒了實務經驗，建立了有效的安全文化。

就在上週，亞馬遜執行長安迪賈西（Andy Jassy）在致股東的公開信中特別提到：不要低估GenAI中安全性的重要性。 客戶的人工智慧模型包含一些最敏感的數據。

史蒂夫·施密特也是亞馬遜安全文化的實踐者和倡導者之一。 無論是擔任 Amazon Cloud Technology 的 CISO 還是目前擔任 Amazon 的 CSO，他都認為建立安全文化是他職業生涯的驕傲。

在本次訪談中，史蒂夫·施密特 (Steve Schmidt) 談論了使用合成人工智慧時的安全挑戰和建議。

Steve Schmidt 認為任何公司在談論使用生成式人工智慧的安全問題時都必須問自己三個問題：

問題1：數據在哪裡？

企業需要在使用資料訓練模型的整個過程中了解資料來自哪裡、如何處理和保護。

第二個問題：我的查詢和任何相關資料會發生什麼情況？

訓練資料並不是企業需要關注的唯一敏感資料集。 隨著企業及其用戶開始使用生成式人工智慧和大型語言模型，他們很快就會學會如何更有效地執行查詢。 然後，他們向查詢添加更多詳細資訊和特定請求，從而產生更好的結果。 當企業使用 Generative AI 執行查詢時，他們需要清楚地了解 Generative AI 服務將如何處理輸入到模型中的資料和查詢結果。 業務查詢本身很敏感，應該成為資料保護計畫的一部分。 如果從外部角度來看，從用戶提出的問題中可以推斷出很多信息，而這些問題在許多情況下是非常敏感的。

問題3：生成式AI模型的輸出夠精確嗎？

這是最重要的一點，從安全的角度來看，人工智慧創建的場景將決定風險，這意味著不同的場景有不同的準確性要求。 如果您使用大型語言模型來建立自訂程式碼，那麼您必須確保程式碼編寫良好、遵循您的最佳實踐等。

事實上，這並不是史蒂夫·施密特第一次提出這三個問題。

在 2023 年亞馬遜雲端技術全球大會 re:Invent 上，Steve Schmidt 強調了上述三個問題。

史蒂夫·施密特對於人工智慧安全問題的思考是一致的。

在本次訪談中，史蒂夫·施密特 (Steve Schmidt) 在使用創意人工智慧進行業務創新時提供了三個額外的安全建議：

首先，安全團隊很容易說“不”，但這不是正確的做法。 我們培訓內部員工了解公司有關人工智慧使用的政策以及如何安全使用人工智慧。 我們也以符合公司人工智慧使用政策的方式指導他們。 安全團隊很容易說“不”，但所有業務團隊、開發人員等也很容易忽略安全團隊。 因此，我認為企業在使用生成式人工智慧時最好的做法是教育、告知、指導、設定標準，並使用滿足既定目標的雲端服務，但準確了解這些服務如何使用和保留也很重要數據。 。

第二，可見性。 我們需要可見性工具來了解員工如何使用數據。 我們需要限制對業務需求之外的資料的存取。 我們還監控他們如何使用外部服務來存取這些數據。 如果我們發現發生了與我們政策不一致的情況，例如對敏感資料的非工作相關訪問，我們將停止這種做法。 在其他情況下，如果員工使用可能違反政策的較不敏感的數據，我們會主動聯繫員工以了解真實意圖並找到解決方案。

三是用機制解決問題。 機制是可重複使用的工具，使我們能夠隨著時間的推移精確控制特定行為。 例如，當員工違規操作時，系統會透過彈跳窗提醒員工，建議使用特定的內部工具，並回報相關問題。

此外，Steve Schmidt也談到了Generative AI目前用於提高企業資訊安全的一些實用方法。

首先，史蒂夫·施密特表示：“我認為使用生成式人工智慧來改進安全編碼可以有效地將整個行業推向更高的安全水平。”

在 Steve Schmidt 看來，從安全性和成本的角度來看，從一開始就編寫安全的程式碼比在編寫、整合測試甚至交付給客戶之後對其進行修改要好得多。 可以說，編碼是資訊安全的最大槓桿之一。 一開始的小問題可能會導致嚴重的安全後果，而人工智慧在這方面確實可以提供幫助。

例如，Amazon CodeWhisperer 是一款具有內建安全掃描功能的 AI 編碼助手，可協助開發人員產生基於註解的程式碼、追蹤開源引用並掃描漏洞。 它對個人開發者也是免費的。

其次，可以創建的人工智慧可以用來對抗駭客。 在阻止駭客方面，創新的人工智慧有助於提高安全工程師的效率。

使用生成式 AI 模型建立自動回應管道，可以快速回應並交付預先定義的事件。 特別是在人機互動領域，大型模型可以使不懂技術的管理者能夠快速了解安全事件期間發生的情況。 例如，Amazon Detective 有一個基於人工智慧的整合流程，用於建立安全事件的文字描述，這意味著安全工程師可以獲取準備好的內容並對其進行調整以確保準確性，並使用該內容來解釋正在發生的情況。 節省數小時的時間。

最後，創造性的人工智慧還可以用來緩解網路安全人才短缺的問題。 史蒂夫·施密特最近表示，合成人工智慧在檢測客戶帳戶中的異常行為方面發揮了重要作用，有助於更準確地隔離個人用戶並就可疑行為發出警報。 創新的人工智慧可以非常有效地識別和警告這種行為。 這種方法使安全團隊能夠將精力集中在戰略業務計劃和更高價值的任務上，而不僅僅是事件檢測和響應，因為所有人都希望能夠在事件發生之前進行預防，而不僅僅是在事件發生之後進行響應。

#安全使用生成式人工智慧亞馬遜首席安全官的 #個問題和 #個提示