譯者 | 李睿

審校 | 重樓

隨著人工智能持續(xù)推動(dòng)各行業(yè)變革，其在關(guān)鍵應(yīng)用中的作用正在呈指數(shù)級(jí)增長(zhǎng)。然而，隨著這些創(chuàng)新的不斷涌現(xiàn)，人們?cè)絹?lái)越擔(dān)心這一問(wèn)題——如何保證人工智能系統(tǒng)的安全？與傳統(tǒng)應(yīng)用程序不同，人工智能處理的是高度敏感的數(shù)據(jù)、復(fù)雜的模型和龐大的網(wǎng)絡(luò)，這些數(shù)據(jù)和網(wǎng)絡(luò)并不完全符合傳統(tǒng)安全措施的要求。

傳統(tǒng)的安全模型建立在定義的網(wǎng)絡(luò)邊界內(nèi)的信任假設(shè)之上，但在保護(hù)人工智能工作流的高度分散性、動(dòng)態(tài)性和敏感性方面顯得力不從心。在人工智能技術(shù)的廣泛應(yīng)用中，敏感數(shù)據(jù)、復(fù)雜模型與分布式系統(tǒng)緊密交織、相互融合。零信任提供了一種主動(dòng)和全面的安全方法。

本文探討了對(duì)人工智能零信任的必要性，指導(dǎo)其應(yīng)用的基本原則，以及從設(shè)計(jì)之初就能有效保護(hù)人工智能系統(tǒng)的具體策略與實(shí)踐方法。

為什么人工智能需要零信任

人工智能系統(tǒng)帶來(lái)了獨(dú)特的安全挑戰(zhàn)：

• 數(shù)據(jù)敏感性：人工智能模型在龐大的數(shù)據(jù)集上進(jìn)行訓(xùn)練，這些數(shù)據(jù)集通常包括敏感信息或?qū)Ｓ行畔ⅰ?/span>一旦泄露，可能導(dǎo)致數(shù)據(jù)外泄或知識(shí)產(chǎn)權(quán)被盜。
• 模型漏洞：人工智能模型可能容易受到各種風(fēng)險(xiǎn)的影響，例如對(duì)抗性攻擊、模型中毒和推理攻擊。
• 分布式生態(tài)系統(tǒng)：人工智能工作流通?？缭皆朴?jì)算環(huán)境、邊緣計(jì)算設(shè)備和API，從而增加了攻擊面。
• 動(dòng)態(tài)性：人工智能模型和依賴關(guān)系的不斷演變需要自適應(yīng)的安全措施。

鑒于這些挑戰(zhàn)，實(shí)施零信任原則可以確保采取積極主動(dòng)的方法來(lái)保護(hù)人工智能系統(tǒng)。

人工智能系統(tǒng)的獨(dú)特安全需求

雖然“永不信任，始終驗(yàn)證”的零信任原則廣泛適用于各種類(lèi)型的應(yīng)用程序，但與微服務(wù)等更傳統(tǒng)的應(yīng)用程序相比，為人工智能系統(tǒng)實(shí)施零信任帶來(lái)了獨(dú)特的挑戰(zhàn)和要求。這些差異是由于人工智能工作流、數(shù)據(jù)敏感性和運(yùn)營(yíng)動(dòng)態(tài)的不同性質(zhì)造成的。以下是主要區(qū)別：

• 數(shù)據(jù)敏感性和生命周期：人工智能系統(tǒng)主要依賴敏感數(shù)據(jù)集進(jìn)行訓(xùn)練和推理。人工智能中的數(shù)據(jù)生命周期包括攝取、存儲(chǔ)、訓(xùn)練和部署，每個(gè)環(huán)節(jié)都需要精心保護(hù)。
• 模型漏洞：人工智能模型容易受到模型中毒、對(duì)抗性輸入和推理攻擊等網(wǎng)絡(luò)攻擊。保護(hù)這些資產(chǎn)需要關(guān)注模型完整性和對(duì)抗性防御。
• 分布式生態(tài)系統(tǒng)：人工智能工作流跨越云計(jì)算、邊緣計(jì)算和內(nèi)部部署環(huán)境，使得難以執(zhí)行一致的零信任策略。
• 動(dòng)態(tài)工作流程：人工智能系統(tǒng)是高度動(dòng)態(tài)的，模型經(jīng)常被重新訓(xùn)練、更新和重新部署。這創(chuàng)造了一個(gè)不斷變化的攻擊面。
• 可審計(jì)性：人工智能的監(jiān)管合規(guī)性涉及跟蹤數(shù)據(jù)沿襲、模型決策和訓(xùn)練來(lái)源，為零信任增加了另一層安全性和透明度要求。
• 攻擊向量：人工智引入了獨(dú)特的攻擊向量，例如在訓(xùn)練期間毒害數(shù)據(jù)集，操縱輸入管道和竊取模型知識(shí)產(chǎn)權(quán)。

人工智能應(yīng)用零信任的核心原則

人工智能應(yīng)用程序的零信任建立在以下五個(gè)方面上：

1.在每個(gè)接入點(diǎn)驗(yàn)證身份

• 為訪問(wèn)人工智能資源的用戶和機(jī)器實(shí)施多因素身份驗(yàn)證（MFA）。
• 使用基于角色的訪問(wèn)控制（RBAC）或基于屬性的訪問(wèn)控制（ABAC）來(lái)限制對(duì)敏感數(shù)據(jù)集和模型的訪問(wèn)。

2.最低訪問(wèn)權(quán)限

• 確保用戶、應(yīng)用程序和設(shè)備具有執(zhí)行其功能所需的最低訪問(wèn)權(quán)限。
• 根據(jù)時(shí)間、地點(diǎn)、異常行為等場(chǎng)景動(dòng)態(tài)調(diào)整權(quán)限。

3.持續(xù)監(jiān)控和驗(yàn)證

• 對(duì)數(shù)據(jù)流、API使用情況和模型交互進(jìn)行實(shí)時(shí)監(jiān)控。
• 使用行為分析來(lái)檢測(cè)異常活動(dòng)，例如模型泄漏嘗試。

4.確保整個(gè)生命周期的安全

• 在人工智能管道中對(duì)靜止、傳輸和處理過(guò)程中的數(shù)據(jù)進(jìn)行加密。
• 在集成前驗(yàn)證和保護(hù)第三方數(shù)據(jù)集和預(yù)訓(xùn)練模型。

5.微分段

隔離人工智能系統(tǒng)的組件（例如訓(xùn)練環(huán)境、推理引擎），以在發(fā)生泄露時(shí)限制橫向移動(dòng)。

人工智能應(yīng)用零信任的關(guān)鍵組件

1.身份訪問(wèn)管理（IAM）

• 角色：確保只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的用戶、設(shè)備和服務(wù)才能訪問(wèn)人工智能資源。
• 主要特性：

A.多因素身份驗(yàn)證（MFA）。

B.使用基于角色的訪問(wèn)控制（RBAC）或基于屬性的訪問(wèn)控制來(lái)限制對(duì)敏感數(shù)據(jù)集和模型的訪問(wèn)。

C.針對(duì)特定人工智能任務(wù)（如訓(xùn)練、推理或監(jiān)控）定制的細(xì)粒度權(quán)限。

2.數(shù)據(jù)安全和加密

• 角色：保護(hù)訓(xùn)練和推理中使用的敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)和篡改。
• 主要特性：

A.對(duì)靜態(tài)、傳輸和處理中的數(shù)據(jù)進(jìn)行加密（例如，計(jì)算的同態(tài)加密）。

B.對(duì)敏感數(shù)據(jù)集進(jìn)行安全數(shù)據(jù)屏蔽和匿名化處理。

C.用于數(shù)據(jù)沿襲跟蹤和來(lái)源的安全存儲(chǔ)解決方案。

3.模型保護(hù)

• 角色：保護(hù)人工智能模型免受盜竊、操縱和對(duì)抗性攻擊。
• 主要特性：

A.模擬加密和數(shù)字簽名以驗(yàn)證完整性。

B.對(duì)抗性訓(xùn)練，使模型能夠抵御精心設(shè)計(jì)的輸入。

C.對(duì)模型端點(diǎn)進(jìn)行訪問(wèn)控制，以防止未經(jīng)授權(quán)的使用。

4.端點(diǎn)和API安全性

?角色：確保人工智能系統(tǒng)與其消費(fèi)者或依賴關(guān)系之間的安全通信。

?主要特性：

A.API認(rèn)證（例如OAuth 2.0、JWT）和授權(quán)。

B.API速率限制和節(jié)流以防止濫用。

C.使用TLS加密API通信。

5.零信任網(wǎng)絡(luò)架構(gòu)（ZTNA）

• 角色：實(shí)現(xiàn)微分段和嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制，最大限度地減少攻擊面。
• 主要特性：

A.隔離人工智能環(huán)境（例如訓(xùn)練、開(kāi)發(fā)、推理）以防止橫向移動(dòng)。

B.持續(xù)監(jiān)察網(wǎng)絡(luò)通訊的異常情況。

C.用于混合云或多云設(shè)置的網(wǎng)絡(luò)加密和安全隧道。

6.持續(xù)監(jiān)測(cè)和分析

• 角色：實(shí)時(shí)檢測(cè)和響應(yīng)潛在威脅或異常行為。
• 主要特性：

A.人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)，用于分析行為模式。

B.記錄和審計(jì)所有訪問(wèn)和活動(dòng)，以供取證分析。

C.異常檢測(cè)，以識(shí)別異常數(shù)據(jù)流或模型交互。

7.自動(dòng)化和編排

• 角色：簡(jiǎn)化安全執(zhí)行和事件響應(yīng)。
• 主要特性：

A.針對(duì)檢測(cè)到威脅的自動(dòng)修復(fù)工作流程。

B.根據(jù)變化的場(chǎng)景（例如時(shí)間、地點(diǎn)或行為）動(dòng)態(tài)調(diào)整政策。

C.與安全編排、自動(dòng)化和響應(yīng)（SOAR）平臺(tái)集成。

8.治理和合規(guī)

• 角色：確保遵守法規(guī)要求和組織政策。
• 主要特性：

A.對(duì)數(shù)據(jù)使用、模型訓(xùn)練和推理過(guò)程進(jìn)行詳細(xì)的審計(jì)跟蹤。

B.對(duì)GDPR、CCPA或人工智能道德準(zhǔn)則等人工智能特定法規(guī)的合規(guī)性檢查。

C.驗(yàn)證人工智能決策的透明度機(jī)制（例如，可解釋性工具）。

9. DevSecOps集成

• 角色：將安全性嵌入人工智能開(kāi)發(fā)和部署生命周期。
• 主要特性：

A.為人工智能工作流提供安全的持續(xù)集成（CI）/持續(xù)交付（CD）管道，確保及早發(fā)現(xiàn)漏洞。

B.對(duì)第三方數(shù)據(jù)集、預(yù)訓(xùn)練模型和人工智能庫(kù)進(jìn)行漏洞掃描。

C.在部署期間對(duì)人工智能模型及其API進(jìn)行安全測(cè)試。

10.邊緣和物聯(lián)網(wǎng)安全（如果適用）

• 角色：保護(hù)部署在邊緣設(shè)備或物聯(lián)網(wǎng)系統(tǒng)上的人工智能模型。
• 主要特性：

A.設(shè)備身份驗(yàn)證和安全配置。

B.邊緣設(shè)備與中央系統(tǒng)之間的端到端加密。

C.資源受限邊緣環(huán)境的輕量級(jí)異常檢測(cè)。

零信任人工智能的工具和框架

人工智能應(yīng)用程序的動(dòng)態(tài)性、分布式和敏感性帶來(lái)了獨(dú)特的安全挑戰(zhàn)。專(zhuān)門(mén)為人工智能零信任設(shè)計(jì)的工具和框架至關(guān)重要的原因如下：

• 保護(hù)敏感數(shù)據(jù)：人工智能應(yīng)用程序處理大量敏感數(shù)據(jù)，包括個(gè)人和專(zhuān)有信息。用于加密和訪問(wèn)控制的工具有助于保護(hù)數(shù)據(jù)免受破壞和濫用。
• 保護(hù)模型免受威脅：人工智能模型容易受到對(duì)抗性攻擊、模型盜竊和數(shù)據(jù)中毒等威脅。專(zhuān)門(mén)的工具可以檢測(cè)漏洞、強(qiáng)化模型，并在訓(xùn)練和推理期間確保它們的完整性。
• 管理復(fù)雜的生態(tài)系統(tǒng)：人工智能工作流跨越云計(jì)算、邊緣計(jì)算和混合環(huán)境，涉及多個(gè)利益相關(guān)者和系統(tǒng)。用于身份和訪問(wèn)管理、網(wǎng)絡(luò)分段和監(jiān)控的框架確保了跨分布式生態(tài)系統(tǒng)的安全交互。
• 合規(guī)性和透明度：由于對(duì)人工智能有嚴(yán)格的監(jiān)管要求（例如GDPR、CCPA），這些工具通過(guò)在人工智能系統(tǒng)中實(shí)施審計(jì)跟蹤、加密和可解釋性來(lái)幫助確保合規(guī)性。
• 增強(qiáng)彈性：通過(guò)自動(dòng)化威脅檢測(cè)、持續(xù)監(jiān)控和事件響應(yīng)，這些工具使人工智能系統(tǒng)對(duì)復(fù)雜的攻擊更具彈性。

零信任人工智能的最佳實(shí)踐

為人工智能應(yīng)用程序?qū)崿F(xiàn)零信任需要一種主動(dòng)和全面的方法來(lái)保護(hù)人工智能生命周期的每個(gè)階段。

以下是基于關(guān)鍵安全原則的最佳實(shí)踐：

盡早整合安全

• 從開(kāi)發(fā)階段到部署和維護(hù)，嵌入安全措施。
• 使用威脅建模和安全優(yōu)先的設(shè)計(jì)原則來(lái)識(shí)別人工智能工作流程中的潛在風(fēng)險(xiǎn)。

持續(xù)身份驗(yàn)證

對(duì)訪問(wèn)人工智能系統(tǒng)的用戶和服務(wù)實(shí)施多因素身份驗(yàn)證（MFA）。

使用自適應(yīng)身份驗(yàn)證方法，根據(jù)場(chǎng)景（例如設(shè)備、位置或行為）調(diào)整安全性。

采用最小特權(quán)原則

將訪問(wèn)限制在用戶和服務(wù)執(zhí)行其任務(wù)所需的最低級(jí)別。

定期檢查和更新訪問(wèn)控制，以限制潛在的攻擊面。

全面加密數(shù)據(jù)

• 確保在靜止、傳輸和處理過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，以保護(hù)敏感的人工智能訓(xùn)練和推理數(shù)據(jù)。
• 使用同態(tài)加密和安全飛地等先進(jìn)技術(shù)進(jìn)行敏感計(jì)算。

監(jiān)控和審計(jì)

• 部署高級(jí)監(jiān)控工具來(lái)跟蹤人工智能模型行為和數(shù)據(jù)訪問(wèn)模式中的異常情況。
• 維護(hù)對(duì)數(shù)據(jù)使用、模型交互和API活動(dòng)的全面審計(jì)跟蹤，以檢測(cè)和響應(yīng)可疑活動(dòng)。

執(zhí)行安全策略

• 使用開(kāi)放策略代理（OPA）等策略引擎，跨微服務(wù)、數(shù)據(jù)管道和人工智能組件執(zhí)行一致的安全策略。
• 定義和自動(dòng)執(zhí)行策略，以確保跨環(huán)境的合規(guī)性。

定期更新和打補(bǔ)丁

• 持續(xù)更新和修補(bǔ)所有軟件組件，包括人工智能庫(kù)、模型和依賴項(xiàng)，以減輕漏洞的影響。
• 在CI/CD管道中自動(dòng)化補(bǔ)丁管理，以簡(jiǎn)化流程。

采用DevSecOps實(shí)踐

• 將靜態(tài)應(yīng)用程序安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用程序安全性測(cè)試（DAST）等安全測(cè)試集成到CI/CD管道中。
• 使用自動(dòng)漏洞掃描工具在開(kāi)發(fā)過(guò)程的早期識(shí)別和解決問(wèn)題。

教育和培訓(xùn)團(tuán)隊(duì)

• 定期對(duì)開(kāi)發(fā)人員、數(shù)據(jù)科學(xué)家和運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行零信任原則和人工智能系統(tǒng)安全重要性的培訓(xùn)。
• 在整個(gè)組織中培養(yǎng)一種共同承擔(dān)安全責(zé)任的文化。

通過(guò)遵循這些實(shí)踐，組織可以建立一個(gè)強(qiáng)大的零信任框架，能夠有效保障人工智能應(yīng)用免受復(fù)雜多變的威脅侵?jǐn)_，降低風(fēng)險(xiǎn)，并確保遵守監(jiān)管標(biāo)準(zhǔn)。

結(jié)論

隨著人工智能繼續(xù)重塑世界，為關(guān)鍵應(yīng)用程序提供動(dòng)力并推動(dòng)創(chuàng)新，它也帶來(lái)了不容忽視的獨(dú)特安全挑戰(zhàn)。敏感數(shù)據(jù)、分布式工作流以及保護(hù)模型完整性的需求需要一種主動(dòng)和全面的方法——這就是零信任發(fā)揮作用的地方。零信任通過(guò)專(zhuān)注于持續(xù)身份驗(yàn)證、最小權(quán)限訪問(wèn)和實(shí)時(shí)監(jiān)控等原則，為保護(hù)人工智能系統(tǒng)提供了堅(jiān)實(shí)的基礎(chǔ)。當(dāng)與加密管道和模型保護(hù)等工具、最佳實(shí)踐和組件相結(jié)合時(shí)，它可以幫助組織更加有效防范威脅。

原文標(biāo)題：Zero Trust for AI: Building Security from the Ground Up，作者：Josephine Eskaline Joyce，Deepika Kothamasu