面對(duì)人工智能安全相關(guān)工具、平臺(tái)、法規(guī)、應(yīng)用和服務(wù)的快速增長(zhǎng)，在推出大語言模型十大漏洞TOP10列表后，OWASP近日又推出了AI開源網(wǎng)絡(luò)安全知識(shí)庫框架——AI Exchange（鏈接在文末），旨在推進(jìn)全球AI安全標(biāo)準(zhǔn)、法規(guī)和知識(shí)的開發(fā)和共享。

考慮到人工智能環(huán)境安全防御的復(fù)雜性，AI Exchange的導(dǎo)航器可幫助用戶快速查詢包括各種威脅、漏洞和控制的有用資源。

AI Exchange導(dǎo)航器界面

OWASP AI Exchange還率先提出了一些通用AI安全建議，包括實(shí)施人工智能治理、將安全和開發(fā)實(shí)踐擴(kuò)展到數(shù)據(jù)科學(xué)以及根據(jù)人工智能的具體用例。

覆蓋AI威脅、攻擊面、生命周期和資產(chǎn)的AI安全矩陣

黑客攻擊人工智能的方式有很多，并且涌現(xiàn)了很多新威脅，例如數(shù)據(jù)泄露、數(shù)據(jù)中毒，甚至對(duì)人工智能供應(yīng)鏈的攻擊。以下是AI Exchange給出的AI安全威脅與控制措施的威脅模型圖：

AI威脅與控制模型圖來源：OWASP

總之，AI Exchange為企業(yè)提供了一種全面的方法來識(shí)別AI相關(guān)威脅和對(duì)應(yīng)的控制措施。首先通過威脅建模等方法識(shí)別威脅，確定企業(yè)內(nèi)部應(yīng)對(duì)威脅的責(zé)任，以及評(píng)估服務(wù)提供商、軟件和供應(yīng)商等外部因素。

然后，AIExchange框架會(huì)引導(dǎo)企業(yè)選擇合適的威脅緩解措施，并將這些控制措施與現(xiàn)有和新興標(biāo)準(zhǔn)交叉引用。遵循這些步驟，企業(yè)將能對(duì)AI風(fēng)險(xiǎn)的持續(xù)監(jiān)控和維護(hù)做出明智決策。

與其他軟件系統(tǒng)非常相似，人工智能系統(tǒng)開發(fā)也遵循生命周期，因此AIExchange建議企業(yè)遵循NIST的安全軟件開發(fā)框架（SSDF），在人工智能軟件開發(fā)生命周期(SDLC)的各個(gè)階段進(jìn)行安全防護(hù)，包括安全設(shè)計(jì)、開發(fā)、部署以及操作和維護(hù)。