你的公司已經(jīng)開始使用人工智能(AI)了，但是你是否有效地控制了人工智能所涉及的風(fēng)險(xiǎn)?人工智能是一個(gè)新的增長(zhǎng)渠道，有可能提高生產(chǎn)力和改善客戶服務(wù)。但是，你需要評(píng)估涉及到網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理。首先，你在考慮人工智能趨勢(shì)的時(shí)候就應(yīng)該把風(fēng)險(xiǎn)納入其中。

[[271993]]

為什么人工智能成為一種新的網(wǎng)絡(luò)安全威脅?

人工智能現(xiàn)在是一個(gè)蓬勃發(fā)展的行業(yè)，大型企業(yè)、研究人員和創(chuàng)業(yè)公司都在努力充分利用這一趨勢(shì)。從網(wǎng)絡(luò)安全的角度來(lái)看，關(guān)注人工智能有幾個(gè)理由，你的威脅評(píng)估模型需要根據(jù)以下發(fā)展情況進(jìn)行更新。

早期人工智能可能制造一種虛假的安全感

目前生產(chǎn)中的大多數(shù)機(jī)器學(xué)習(xí)方法都會(huì)要求用戶提供訓(xùn)練數(shù)據(jù)集。有了這些數(shù)據(jù)，應(yīng)用就可以做出更好的預(yù)測(cè)。但是，在確定這些數(shù)據(jù)集要包含哪些數(shù)據(jù)方面，最終用戶的判斷是一種重要因素。如果黑客發(fā)現(xiàn)了監(jiān)督過(guò)程的運(yùn)作模式，那么這種監(jiān)督式學(xué)習(xí)方法就會(huì)受到影響。實(shí)際上，黑客可以通過(guò)模仿安全代碼來(lái)逃避機(jī)器學(xué)習(xí)的檢測(cè)。

基于人工智能的網(wǎng)絡(luò)安全為人類帶來(lái)了更多工作機(jī)會(huì)

很少有企業(yè)愿意依賴機(jī)器提供的安全性。因此，網(wǎng)絡(luò)安全領(lǐng)域的機(jī)器學(xué)習(xí)可以給人類帶來(lái)了更多的工作機(jī)會(huì)。WIRED雜志總結(jié)了如下：“機(jī)器學(xué)習(xí)最常見的角色是附加的，它就像是一個(gè)哨兵，而不是萬(wàn)能的。”人工智能和機(jī)器學(xué)習(xí)工具會(huì)標(biāo)記出需要審查問(wèn)題，隨著這些問(wèn)題越來(lái)越多，人類分析師就需要對(duì)這些數(shù)據(jù)進(jìn)行審查，從而做出下一步?jīng)Q定。

黑客們開始使用人工智能展開攻擊

與任何技術(shù)一樣，人工智能可用于防御，或者攻擊。史蒂文斯理工學(xué)院的研究人員證明了這一事實(shí)，他們?cè)?017年分析了4300萬(wàn)用戶檔案后，使用人工智能成功地猜出了27%的用戶LinkedIn密碼。在防御者手中，這樣的工具可以幫助警示最終用戶他們的密碼設(shè)置較弱，而在攻擊者手中，這樣的工具就是一種安全威脅。

需要了解的常見錯(cuò)誤

如果避免了以下錯(cuò)誤，你就有可能在企業(yè)組織中成功地使用人工智能技術(shù)。

1. 沒有周全地考慮過(guò)可解釋性所帶來(lái)的挑戰(zhàn)

當(dāng)你使用人工智能的時(shí)候，你是否能夠解釋它的運(yùn)作和建議方式嗎?如果不能，你就很可能接受(或者拒絕)人工智能的建議而無(wú)法對(duì)其進(jìn)行評(píng)估。通過(guò)對(duì)人工智能提出的建議進(jìn)行逆向設(shè)計(jì)，可以克服這一挑戰(zhàn)。

2. 在不了解廠商模式的情況下使用他們提供的人工智能

一些企業(yè)決定從外部購(gòu)買人工智能或者購(gòu)買許可，而不是自己內(nèi)部開發(fā)人工智能技術(shù)。這種方法與任何戰(zhàn)略決策一樣都存在著缺點(diǎn)，你無(wú)法信任廠商的建議。你需要就系統(tǒng)如何保護(hù)數(shù)據(jù)以及人工智能工具可以訪問(wèn)哪些系統(tǒng)提出詳細(xì)的問(wèn)題，要求廠商解釋他們對(duì)數(shù)據(jù)和機(jī)器學(xué)習(xí)的假設(shè)，可以解決這一挑戰(zhàn)。

3. 沒有單獨(dú)測(cè)試人工智能的安全性

當(dāng)你使用人工智能或者機(jī)器學(xué)習(xí)工具的時(shí)候，你需要將大量數(shù)據(jù)輸入進(jìn)去。這就需要你信任該系統(tǒng)，所以你必須從網(wǎng)絡(luò)安全的角度對(duì)該系統(tǒng)進(jìn)行測(cè)試。例如，考慮是否可以通過(guò)SQL注入或者其他黑客技術(shù)入侵到系統(tǒng)中。如果黑客可以破壞人工智能系統(tǒng)中的算法或者數(shù)據(jù)，那么企業(yè)決策的質(zhì)量就會(huì)受到影響。

4. 企業(yè)組織缺乏人工智能網(wǎng)絡(luò)安全技能

要進(jìn)行人工智能的網(wǎng)絡(luò)安全測(cè)試和評(píng)估，你就需要技能熟練的員工。遺憾的是，很少有網(wǎng)絡(luò)專業(yè)人員能夠勝任這個(gè)工作。所幸的是，人才發(fā)展計(jì)劃可以解決這個(gè)問(wèn)題。你可以為企業(yè)的網(wǎng)絡(luò)安全專業(yè)人士提供獲取證書、參加會(huì)議、使用其他資源來(lái)豐富人工智能知識(shí)的機(jī)會(huì)。

5. 出于安全性的考慮而完全忽略人工智能

上面這些常見錯(cuò)誤可能會(huì)讓你覺得完全避免使用人工智能和機(jī)器學(xué)習(xí)是個(gè)明智之舉。這可能是十年前的做法，而如今人工智能和機(jī)器學(xué)習(xí)已經(jīng)滲透到你工作所使用的每個(gè)工具中了。忽略這個(gè)趨勢(shì)以最大限度降低風(fēng)險(xiǎn)，只會(huì)讓你的企業(yè)組織面臨更大的風(fēng)險(xiǎn)，還不如主動(dòng)地去尋找利用人工智能的解決方案。例如，你可以使用安全聊天機(jī)器人更便捷地為你的員工提供安全性。

6. 對(duì)于通過(guò)人工智能實(shí)現(xiàn)轉(zhuǎn)型的期待太高

以不合理的期望值而開始實(shí)施人工智能將會(huì)導(dǎo)致安全性和生產(chǎn)力方面的問(wèn)題，不要試圖用人工智能解決企業(yè)組織中的所有業(yè)務(wù)問(wèn)題。從安全角度來(lái)看，如此廣泛的實(shí)施將非常難以把控。相反，你應(yīng)該采用低風(fēng)險(xiǎn)的方法：一次將人工智能應(yīng)用于一個(gè)領(lǐng)域，例如自動(dòng)執(zhí)行常規(guī)安全管理任務(wù)，然后逐漸擴(kuò)大范圍。

7. 不愿意把真實(shí)的數(shù)據(jù)交給人工智能解決方案

大多數(shù)開發(fā)人員和技術(shù)人員喜歡通過(guò)設(shè)置測(cè)試環(huán)境來(lái)降低風(fēng)險(xiǎn)。這是一個(gè)很好的原則，值得使用。但是用于人工智能的時(shí)候，這種方法就有它的局限性了。要了解你的人工智能系統(tǒng)是否真正安全，你就需要提供真實(shí)的數(shù)據(jù)：客戶信息、財(cái)務(wù)數(shù)據(jù)或者其他內(nèi)容。如果所有這些信息你都不愿意交出來(lái)，那么你就永遠(yuǎn)無(wú)法評(píng)估采用人工智能的安全風(fēng)險(xiǎn)或者生產(chǎn)力優(yōu)勢(shì)。

以全開放視角采用人工智能

在企業(yè)中使用人工智能肯定存在著危險(xiǎn)和風(fēng)險(xiǎn)。但是，可以通過(guò)培訓(xùn)、主動(dòng)管理監(jiān)督和避免這七個(gè)錯(cuò)誤來(lái)把控這些風(fēng)險(xiǎn)。