亞馬遜云科技在全球擁有數(shù)百萬(wàn)客戶(hù)，每天追蹤的事件達(dá)數(shù)十億條，這讓亞馬遜云科技能檢測(cè)到更多的安全威脅。

在2019年亞馬遜云科技首席安全官Steve Schmidt正式宣布推出首個(gè)聚焦云安全問(wèn)題的會(huì)議亞馬遜云科技re:Inforce，現(xiàn)在大會(huì)已經(jīng)舉辦五屆，成為云安全的風(fēng)向標(biāo)。

Steve Schmidt在2010年加入亞馬遜，并在亞馬遜云科技首席信息安全官任職長(zhǎng)達(dá)12年，2022年起就任亞馬遜首席安全官至今。最近他接受了《華爾街日?qǐng)?bào)》關(guān)于生成式AI時(shí)代下的企業(yè)安全的訪(fǎng)談。

Steve Schmidt說(shuō)，安全團(tuán)隊(duì)的工作是幫助企業(yè)了解生成式AI等創(chuàng)新技術(shù)的好處和風(fēng)險(xiǎn)，以及如何利用它來(lái)提升企業(yè)的安全效率。

亞馬遜云科技首席安全官Steve Schmidt

生成式AI安全，企業(yè)要問(wèn)三個(gè)問(wèn)題

生成式AI在融入業(yè)務(wù)的同時(shí)也在融入企業(yè)的安全當(dāng)中，Steve Schmidt認(rèn)為任何企業(yè)在談及使用生成式AI的安全問(wèn)題時(shí)，都必須問(wèn)自己三個(gè)問(wèn)題：

第一，數(shù)據(jù)在哪里？

企業(yè)需要知道用數(shù)據(jù)訓(xùn)練模型的整個(gè)工作流程中，這些數(shù)據(jù)來(lái)自哪里，以及是如何被處理和保護(hù)。

第二，我的查詢(xún)和任何相關(guān)數(shù)據(jù)會(huì)發(fā)生什么？

訓(xùn)練數(shù)據(jù)并不是企業(yè)需要關(guān)注的唯一敏感數(shù)據(jù)集，當(dāng)企業(yè)及其用戶(hù)開(kāi)始使用生成式AI和大型語(yǔ)言模型時(shí),他們很快就會(huì)掌握如何讓查詢(xún)更有效。之后會(huì)在查詢(xún)中添加更多細(xì)節(jié)和具體要求，從而獲得更好的結(jié)果。企業(yè)使用生成式AI進(jìn)行查詢(xún)需要清楚知道生成式AI會(huì)如何處理輸入進(jìn)模型的數(shù)據(jù)以及查詢(xún)結(jié)果。企業(yè)查詢(xún)本身也是敏感的，應(yīng)該成為數(shù)據(jù)保護(hù)計(jì)劃的一部分。

第三，生成式AI模型的輸出是否足夠準(zhǔn)確？

從安全角度來(lái)看，生成式AI的使用場(chǎng)景定義了風(fēng)險(xiǎn)，不同的場(chǎng)景對(duì)準(zhǔn)確度的要求是不同的。如果你正在使用大型語(yǔ)言模型來(lái)生成定制代碼，那么你就必須要確認(rèn)這個(gè)代碼是否寫(xiě)得足夠好，是否遵循了你的最佳實(shí)踐等等。

在了解了使用生成式AI的安全問(wèn)題之后，Steve Smith還給出了利用生成式AI進(jìn)行創(chuàng)新的三條安全建議：

第一，安全團(tuán)隊(duì)說(shuō)“不”很容易，但不是正確的做法。培訓(xùn)內(nèi)部員工了解公司關(guān)于使用人工智能的政策幫助安全地使用。指導(dǎo)員工使用符合公司人工智能使用政策的方式。對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，說(shuō)“不”很容易，但對(duì)于所有業(yè)務(wù)團(tuán)隊(duì)、開(kāi)發(fā)人員等來(lái)說(shuō)，繞過(guò)安全團(tuán)隊(duì)也同樣容易。

第二，可見(jiàn)性。企業(yè)需要通過(guò)可見(jiàn)性的工具來(lái)了解員工如何使用數(shù)據(jù)，限制在工作需求之外的數(shù)據(jù)訪(fǎng)問(wèn)，會(huì)監(jiān)控他們?nèi)绾问褂猛獠糠?wù)訪(fǎng)問(wèn)這些數(shù)據(jù)。如果發(fā)現(xiàn)有不符合政策的情況發(fā)生，例如在涉及到非工作需求之外的敏感數(shù)據(jù)訪(fǎng)問(wèn)，會(huì)停止這種行為。在其他情況下，如果員工使用的數(shù)據(jù)不太敏感，但是可能會(huì)違反政策，會(huì)主動(dòng)聯(lián)系員工去了解真實(shí)目的并尋求解決之道。

第三，通過(guò)機(jī)制解決問(wèn)題。機(jī)制是可重復(fù)使用的工具，允許企業(yè)隨著時(shí)間的流失精確地驅(qū)動(dòng)特定的行為。例如，當(dāng)員工違規(guī)操作時(shí)，系統(tǒng)會(huì)通過(guò)如彈窗來(lái)提示員工，并建議使用特定的內(nèi)部工具，并就相關(guān)問(wèn)題進(jìn)行報(bào)告。

為安全服務(wù)提供生成式AI能力

安全一直是亞馬遜云科技的最高優(yōu)先級(jí)，Steve Schmidt也是亞馬遜安全文化的踐行者和倡導(dǎo)者之一。

“安全團(tuán)隊(duì)要利用開(kāi)箱即用的生成式AI應(yīng)用，從代碼階段推動(dòng)安全行業(yè)升級(jí)，對(duì)任何企業(yè)包括亞馬遜都是如此?！边@是Steve Schmidt對(duì)生成式AI提出的建議。

因?yàn)槔蒙墒紸I提升安全代碼的編寫(xiě)工作能夠有效地推動(dòng)整個(gè)行業(yè)進(jìn)入更高級(jí)別的安全領(lǐng)域。

Amazon CodeWhisperer代碼助手以及新型生成式AI助手Amazon Q，都可以幫助企業(yè)生成更好的代碼或在軟件工程師編寫(xiě)代碼時(shí)直接提供建議。

Amazon CodeWhisperer是具有內(nèi)置安全掃描功能的AI編碼助手，能夠幫助開(kāi)發(fā)者基于注釋生成代碼，追蹤開(kāi)源參考，掃描查找漏洞，同時(shí)對(duì)個(gè)人開(kāi)發(fā)者免費(fèi)。它還提供定制化功能，允許企業(yè)安全地將CodeWhisperer連接到企業(yè)內(nèi)部代碼存儲(chǔ)，以提升CodeWhisperer的效果，加快開(kāi)發(fā)任務(wù)的完成速度。

Amazon Q可以在A(yíng)mazon CodeWhisperer中回答開(kāi)發(fā)人員的各種代碼相關(guān)的問(wèn)題并附上可一鍵實(shí)施的代碼，并提供代碼轉(zhuǎn)換功能，以幫助開(kāi)發(fā)者大幅減少應(yīng)用程序維護(hù)和升級(jí)所需的繁瑣工作，將所需的時(shí)間從幾天縮短至幾分鐘。

同時(shí)，亞馬遜云科技2023 re:Invent全球大會(huì)上，亞馬遜云科技也推出了具有生成式AI能力的安全服務(wù)能力。

Amazon Inspector的Amazon Lambda函數(shù)代碼掃描功能現(xiàn)在能夠利用生成式AI和自動(dòng)推理實(shí)現(xiàn)代碼修復(fù)。此前的掃描功能能夠突出顯示問(wèn)題代碼的位置、潛在影響并提供建議，現(xiàn)在生成式AI同能夠?yàn)槎喾N類(lèi)別的漏洞創(chuàng)建與情境相關(guān)的代碼補(bǔ)丁。開(kāi)發(fā)者可以快速進(jìn)行驗(yàn)證和代碼替換等操作，從而快速有效地解決問(wèn)題。

Amazon Detective現(xiàn)在能夠使用生成式AI提供調(diào)查發(fā)現(xiàn)組摘要，生成式AI可以自動(dòng)分析調(diào)查發(fā)現(xiàn)組并以自然語(yǔ)言提供洞察，加快進(jìn)行安全調(diào)查。Amazon Detective服務(wù)的目的是讓用戶(hù)更輕松地分析、調(diào)查和快速確定潛在安全問(wèn)題或可疑活動(dòng)的根本原因。新的生成式AI能力能夠?yàn)樘囟ㄓ脩?hù)提供更廣泛的安全視角和更多的安全知識(shí)。

最近，亞馬遜云科技與英偉達(dá)最新聯(lián)合發(fā)布中也談到，GB200將受益于A(yíng)mazon Nitro系統(tǒng)增強(qiáng)的安全性，在客戶(hù)端和云端全程保護(hù)客戶(hù)的代碼和數(shù)據(jù)在處理過(guò)程中的安全。

Steve Schmidt說(shuō)，問(wèn)題不在于安全團(tuán)隊(duì)自身想要做什么，而在于確保我們始終幫助我們的客戶(hù)團(tuán)隊(duì)、內(nèi)部團(tuán)隊(duì)，朝著他們的目標(biāo)向前邁進(jìn)。