盡管深知風(fēng)險(xiǎn)，高管們?nèi)栽诜e極推動(dòng)各種GenAI的部署和實(shí)驗(yàn)，而CISO們則被迫承擔(dān)起風(fēng)險(xiǎn)管理的重任。

對(duì)于GenAI的潛力，高管的看法對(duì)許多CISO來(lái)說(shuō)猶如迷人的海妖之歌。

根據(jù)NTT Data最近的一項(xiàng)調(diào)查，89%的高管“非常擔(dān)心與GenAI部署相關(guān)的潛在安全風(fēng)險(xiǎn)”，但報(bào)告發(fā)現(xiàn)，這些同樣的高管認(rèn)為“GenAI的潛力和投資回報(bào)率超過(guò)了風(fēng)險(xiǎn)”——這種情況可能讓CISO成為風(fēng)險(xiǎn)管理理性聲音中的孤勇者。

而且，這可能已經(jīng)產(chǎn)生了負(fù)面影響，因?yàn)楦鶕?jù)調(diào)查，近一半的企業(yè)CISO“對(duì)GenAI持負(fù)面看法”，感到“壓力重重、受到威脅、不堪重負(fù)”。

這種沖突并不陌生，高管們向業(yè)務(wù)部門負(fù)責(zé)人施壓，要求他們采用新技術(shù)以提高效率并提升業(yè)績(jī)，但GenAI是一項(xiàng)風(fēng)險(xiǎn)極高的業(yè)務(wù)——可以說(shuō)比迄今為止的任何技術(shù)風(fēng)險(xiǎn)都高，它會(huì)產(chǎn)生幻覺、繞過(guò)防護(hù)欄、危及合規(guī)性，并吞噬敏感的企業(yè)數(shù)據(jù)，而企業(yè)在未進(jìn)行適當(dāng)安全加固的情況下迅速接納它，同時(shí)受到供應(yīng)商推動(dòng)，這些供應(yīng)商強(qiáng)調(diào)功能而非安全。

Moor Insights & Strategy的副總裁兼首席分析師Will Townsend表示：“這是蠻荒的西部，大量的AI應(yīng)用和大型語(yǔ)言模型選擇讓人難以審查哪些是安全的,還有一些應(yīng)用看似合法，實(shí)則是數(shù)據(jù)外泄和勒索軟件攻擊的陰謀?！薄皩?duì)數(shù)據(jù)泄露的擔(dān)憂是真實(shí)的，我們已經(jīng)看到這種情況發(fā)生，同時(shí)伴隨著通過(guò)提示注入攻擊引入惡意代碼?！?/p>

Townsend表示，CISO面臨的最棘手的GenAI問(wèn)題之一是，許多GenAI供應(yīng)商在選擇用于訓(xùn)練模型的數(shù)據(jù)時(shí)過(guò)于隨意?！斑@會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)。”

資深安全領(lǐng)導(dǎo)者Jim Routh曾在Mass Mutual、CVS、Aetna、KPMG、American Express和JP Morgan Chase擔(dān)任過(guò)CISO級(jí)別的職務(wù)，他表示，GenAI滲透到SaaS解決方案中使問(wèn)題更加嚴(yán)重。

如今擔(dān)任安全供應(yīng)商Saviynt首席信任官的Routh表示：“GenAI的攻擊面已經(jīng)改變。過(guò)去是企業(yè)用戶使用最大供應(yīng)商提供的基礎(chǔ)模型。如今，數(shù)百個(gè)SaaS應(yīng)用程序嵌入了大型語(yǔ)言模型(LLM)，并在企業(yè)中廣泛使用，軟件工程師在HuggingFace.com上有超過(guò)100萬(wàn)個(gè)開源LLM可供使用。”

Robert Taylor是一名專注于AI和網(wǎng)絡(luò)安全法律策略的律師，并在達(dá)拉斯的知識(shí)產(chǎn)權(quán)律師事務(wù)所Carstens, Allen & Gourley擔(dān)任法律顧問(wèn)，他表示，他在各種規(guī)模的企業(yè)中各層級(jí)都看到了一個(gè)共同的主題。

Taylor說(shuō)：“他們不知道自己不知道什么，至少CISO已經(jīng)準(zhǔn)備好考慮風(fēng)險(xiǎn)，并對(duì)AI帶來(lái)的安全風(fēng)險(xiǎn)有所了解，但AI帶來(lái)了許多新的安全風(fēng)險(xiǎn)，他們正在努力應(yīng)對(duì)，有一些項(xiàng)目正在評(píng)估GenAI產(chǎn)生的多種類型的安全風(fēng)險(xiǎn)，我聽說(shuō)安全風(fēng)險(xiǎn)類別數(shù)以百計(jì)，甚至遠(yuǎn)遠(yuǎn)超過(guò)一千種?！?/p>

Townsend推測(cè)，所有這些都可能對(duì)CISO的心理產(chǎn)生負(fù)面影響。“當(dāng)他們感到不堪重負(fù)時(shí)，他們就會(huì)放棄，”他說(shuō)，“他們會(huì)做自己覺得能做的事，而忽略那些他們覺得無(wú)法控制的事?！?/p>

問(wèn)題日益加劇

與此同時(shí)，在高管們不斷推進(jìn)的同時(shí)，讓他們的CISO因風(fēng)險(xiǎn)而不堪重負(fù)，而攻擊者則在迅速行動(dòng)。

Taylor表示：“不法分子正在狂熱地試圖以惡意方式利用這些新技術(shù)，因此CISO們有理由擔(dān)心這些新的GenAI解決方案和系統(tǒng)如何被利用?！薄癎enAI解決方案不是傳統(tǒng)的軟件和服務(wù)，它們有一些其他技術(shù)不必應(yīng)對(duì)的漏洞?！?/p>

Taylor認(rèn)為，更糟糕的是，與傳統(tǒng)技術(shù)風(fēng)險(xiǎn)相比，GenAI的風(fēng)險(xiǎn)更加無(wú)形且不斷變化。

Taylor說(shuō)：“GenAI在部署后會(huì)繼續(xù)變化，這進(jìn)一步增加了安全風(fēng)險(xiǎn)的機(jī)會(huì)，如提示注入、數(shù)據(jù)投毒以及從與GenAI共享的信息中提取機(jī)密信息或個(gè)人身份信息(PII)?！?/p>

Forrester的副總裁兼首席分析師Jeff Pollard指出，特別是提示安全，“如果企業(yè)有面向客戶或面向員工但影響客戶的提示，可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)或披露，那么提示安全就是立即且必要的?！?/p>

Pollard表示，而且這個(gè)問(wèn)題很快就會(huì)變得更加嚴(yán)重。“重要的是現(xiàn)在就要學(xué)會(huì)如何保護(hù)這些，因?yàn)檫@是第一個(gè)可能在企業(yè)中廣泛部署的GenAI版本。具有主體性的AI很快就會(huì)到來(lái)——如果它還沒有到來(lái)的話，這將需要這些控制措施以及更多措施來(lái)確保正確安全。”