以ChatGPT為代表的基于LLM(大語言模型)的生成式人工智能應(yīng)用正風(fēng)靡全球，各行各業(yè)都在爭先恐后將其集成到前端和后端的各種系統(tǒng)中，與此同時生成式人工智能面臨的安全風(fēng)險也正隨著其熱度上升而凸顯。

生成式人工智能自身正面臨提示注入等多種攻擊，很可能給企業(yè)帶來數(shù)據(jù)泄露、內(nèi)容安全、版權(quán)侵犯等新興威脅。此外，由于生成式AI與生俱來的“黑匣子”特性，伴隨“AI軍備競賽”快速成長的自主AI系統(tǒng)越來越難以監(jiān)管，隨時有可能失控并帶來災(zāi)難性后果。

白宮發(fā)布AI監(jiān)管總統(tǒng)令

2023年10月30日，美國總統(tǒng)拜登發(fā)布了《關(guān)于安全、可靠和值得信賴地開發(fā)和使用人工智能的行政命令》，同時七國集團(tuán)領(lǐng)導(dǎo)人發(fā)表了聯(lián)合聲明，支持2023年5月“廣島進(jìn)程開發(fā)先進(jìn)人工智能系統(tǒng)組織國際行為準(zhǔn)則?！?/p>

白宮的總統(tǒng)行政命令以白宮之前對人工智能的參與為基礎(chǔ)，并為行業(yè)和政府提供了指導(dǎo)方針。那些涉及國家安全的實體應(yīng)特別關(guān)注人工智能技術(shù)的雙重用途可能性。該行政命令指出了七個重要議題(其中安全問題排在第一位)：

• 確保安全。
• 保護(hù)美國人的隱私。
• 促進(jìn)公平和公民權(quán)利。
• 維護(hù)消費者和工人的利益。
• 促進(jìn)創(chuàng)新和競爭。
• 提升美國在海外的領(lǐng)導(dǎo)地位。
• 確保政府負(fù)責(zé)任且有效地使用人工智能。

誰來監(jiān)管人工智能

人工智能監(jiān)管的第一步是設(shè)定標(biāo)準(zhǔn)，因此美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)首當(dāng)其沖，白宮總統(tǒng)行政命令明確指示NIST開發(fā)人工智能指南和最佳實踐，以促進(jìn)達(dá)成共識的行業(yè)標(biāo)準(zhǔn)，確保安全、可靠和值得信賴的人工智能的開發(fā)和部署。

與此同時，白宮國家網(wǎng)絡(luò)主任辦公室在社交媒體上給出了其對總統(tǒng)行政命令的理解：“今天的行政命令為人工智能安全、保護(hù)美國人隱私、促進(jìn)公平和公民權(quán)利制定了新標(biāo)準(zhǔn)——它維護(hù)消費者和工人的利益，促進(jìn)創(chuàng)新和競爭，提升美國在世界各地的領(lǐng)導(dǎo)地位?！?/p>

美國國土安全部則發(fā)布了情況說明書，解釋了該行政命令及其職責(zé)，重點強(qiáng)調(diào)了以下三大關(guān)鍵措施：

• 成立人工智能安全咨詢委員會(AISSB)，以“支持人工智能的負(fù)責(zé)任發(fā)展。該委員會將匯集來自人工智能硬件和軟件公司、領(lǐng)先研究實驗室、關(guān)鍵基礎(chǔ)設(shè)施實體和美國政府的杰出行業(yè)專家?！?/li>
• 致力于制定人工智能安全指南，供關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商使用。
• 利用人工智能改善美國網(wǎng)絡(luò)防御的潛力，強(qiáng)調(diào)CISA如何積極“利用人工智能和機(jī)器學(xué)習(xí)(ML)工具進(jìn)行威脅檢測、預(yù)防和漏洞評估”。

另外，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在自己的社交媒體帖子中強(qiáng)調(diào)，它將“評估與使用人工智能相關(guān)的可能風(fēng)險，為關(guān)鍵基礎(chǔ)設(shè)施部門提供指導(dǎo)，利用人工智能改善美國網(wǎng)絡(luò)防御的潛力，并制定建議紅隊測試生成人工智能?！?/p>

人工智能企業(yè)的九大安全政策

美國總統(tǒng)行政命令還提到了本周三開幕的英國人工智能安全峰會，該峰會將匯集世界領(lǐng)導(dǎo)人、科技公司和人工智能專家，“促進(jìn)關(guān)于人工智能的重要對話”。

人工智能安全峰會呼吁研發(fā)先進(jìn)人工智能技術(shù)的企業(yè)重視九大人工智能安全政策：

• 風(fēng)險管理框架。為組織提升前沿人工智能系統(tǒng)的能力提供一個風(fēng)險管理框架，使公司能夠在未來潛在的、更危險的人工智能風(fēng)險發(fā)生之前做好準(zhǔn)備。
• 模型評估和紅隊測試可以幫助評估人工智能模型帶來的風(fēng)險，并為有關(guān)訓(xùn)練、保護(hù)和部署模型的更好決策提供信息。
• 模型報告和信息共享可提高政府對前沿人工智能開發(fā)和部署的可見性，并使用戶能夠就是否以及如何使用人工智能系統(tǒng)做出明智的選擇。
• 包括保護(hù)模型權(quán)重在內(nèi)的安全控制是人工智能系統(tǒng)安全的關(guān)鍵基礎(chǔ)。
• 漏洞的報告機(jī)制有助于外部人員識別并報告人工智能系統(tǒng)中的安全問題。
• 人工智能內(nèi)容標(biāo)記。人工智能生成內(nèi)容需要添加標(biāo)識符，用于識別該內(nèi)容是否由人工智能生成或修改，有助于防止欺騙性人工智能生成內(nèi)容的創(chuàng)建和分發(fā)。
• 優(yōu)先研究人工智能帶來的風(fēng)險將有助于識別和解決前沿人工智能帶來的新風(fēng)險。
• 防止和監(jiān)控模型濫用非常重要，因為人工智能系統(tǒng)一旦部署，可能會被故意濫用，造成有害結(jié)果。
• 數(shù)據(jù)輸入控制和審計可以幫助識別和刪除可能增加先進(jìn)人工智能系統(tǒng)危險能力和風(fēng)險的訓(xùn)練數(shù)據(jù)。

CISO應(yīng)該注意什么

在人工智能強(qiáng)監(jiān)管時代，CISO需要高度重視人工智能安全產(chǎn)品相關(guān)的合規(guī)問題，CISO應(yīng)該嚴(yán)格審核和評估網(wǎng)絡(luò)安全產(chǎn)品，并要求安全廠商為安全產(chǎn)品中整合的AI/ML技術(shù)提供出處和可證明的測試結(jié)果。此外，鑒于全球人工智能監(jiān)管政策的流動性，缺乏跨境協(xié)調(diào)是一個現(xiàn)實問題，如果各地區(qū)或國家之間的指導(dǎo)和法規(guī)存在差異，可能會導(dǎo)致下游合規(guī)問題。