面對人工智能安全相關工具、平臺、法規(guī)、應用和服務的快速增長，在推出大語言模型十大漏洞TOP10列表后，OWASP近日又推出了AI開源網絡安全知識庫框架——AI Exchange（鏈接在文末），旨在推進全球AI安全標準、法規(guī)和知識的開發(fā)和共享。

考慮到人工智能環(huán)境安全防御的復雜性，AI Exchange的導航器可幫助用戶快速查詢包括各種威脅、漏洞和控制的有用資源。

AI Exchange導航器界面

OWASP AI Exchange還率先提出了一些通用AI安全建議，包括實施人工智能治理、將安全和開發(fā)實踐擴展到數(shù)據(jù)科學以及根據(jù)人工智能的具體用例。

覆蓋AI威脅、攻擊面、生命周期和資產的AI安全矩陣

黑客攻擊人工智能的方式有很多，并且涌現(xiàn)了很多新威脅，例如數(shù)據(jù)泄露、數(shù)據(jù)中毒，甚至對人工智能供應鏈的攻擊。以下是AI Exchange給出的AI安全威脅與控制措施的威脅模型圖：

AI威脅與控制模型圖來源：OWASP

總之，AI Exchange為企業(yè)提供了一種全面的方法來識別AI相關威脅和對應的控制措施。首先通過威脅建模等方法識別威脅，確定企業(yè)內部應對威脅的責任，以及評估服務提供商、軟件和供應商等外部因素。

然后，AIExchange框架會引導企業(yè)選擇合適的威脅緩解措施，并將這些控制措施與現(xiàn)有和新興標準交叉引用。遵循這些步驟，企業(yè)將能對AI風險的持續(xù)監(jiān)控和維護做出明智決策。

與其他軟件系統(tǒng)非常相似，人工智能系統(tǒng)開發(fā)也遵循生命周期，因此AIExchange建議企業(yè)遵循NIST的安全軟件開發(fā)框架（SSDF），在人工智能軟件開發(fā)生命周期(SDLC)的各個階段進行安全防護，包括安全設計、開發(fā)、部署以及操作和維護。