目录
生成式人工智能(Generative AI)激发了企业的想象力,并不断推动全球各行各业各种规模企业的客户体验转型。在拥有数十亿个参数的大型语言模型(LLM)和转换器神经网络的推动下,人工智能的功能实现了飞跃,为新型工作效率提升、创意功能等打开了大门。
随着企业开始评估生成式人工智能的应用并为其员工和顾客采用这一功能,网络安全从业人员必须针对这项日新月异的技术,快速评测其风险、治理和控制措施。作为 Amazon Web Services(AWS)的安全负责部门,我们与 AWS 规模最大、最复杂的客户合作,客户经常会就生成式人工智能的趋势、最佳实践、快速演变的形势以及相关的安全和隐私影响征求我们的意见。本着这种精神,我们将介绍一些关键策略,供您用来加速自己的生成式人工智能安全之旅。
这篇博文是关于确保生成式人工智能安全的系列文章中的第一篇,文中建立了一个思维模型,帮助您根据所部署的生成式人工智能工作负载类型来应对风险和安全影响。然后,我们将面向安全领导者和从业人员,重点介绍在确保生成式人工智能工作负载安全时需要重点对待的关键注意事项。后续的博文将深入探讨开发满足客户安全要求的生成式人工智能解决方案,对生成式人工智能应用程序进行威胁建模的最佳实践,用于评估合规性和隐私注意事项的方法,并探讨使用生成式人工智能来改善网络安全运维的方法。
切入点
与任何新兴技术一样,为该技术奠定坚实的基础对于帮助您了解相关的范围、风险、安全和合规性要求至关重要。 如需了解有关生成式人工智能基础的更多信息,我们建议您首先详细了解什么是生成式人工智能、这个领域中的独有术语和细微之处,并探索企业如何使用生成式人工智能为客户进行创新的示例。
如果您刚刚开始了解或采用生成式人工智能,您可能会觉得这需要一套全新的安全规程。对于生成式人工智能工作负载,尽管存在独特的安全注意事项,但好的方面是,其核心是另一种数据驱动型计算工作负载,许多相同的安全方案可以沿袭下来。 实际上,如果您多年来一直在投资于云服务网络安全最佳实践,并采纳了 Steve 介绍的十大安全事项、Well-Architected Framework 的安全性支柱以及 Well-Architected Machine Learning Lens 等资料中介绍的规范性建议,那么您已经踏上了正轨!
与任何其它工作负载一样,对于生成式人工智能工作负载,身份和访问管理、数据保护、隐私与合规性、应用程序安全和威胁建模等核心安全规程仍然至关重要。例如,如果您的生成式人工智能应用程序正在访问数据库,那么您需要知道数据库有哪些数据分类、如何保护这些数据、如何监控威胁以及如何管理访问权限。但是,在重视长期遵循的安全实践之外,同样至关重要的是,了解生成式人工智能工作负载带来的独特风险和其它安全注意事项。这篇博文重点介绍了几个安全因素,其中既有新的主题,也有您已熟悉的内容,供您借鉴。
考虑到这一点,我们来讨论第一步:范围界定。
确定范围
在企业决定推进生成式人工智能解决方案之后,作为安全领导者或从业者,现在您应该做什么? 与任何安全工作一样,您必须了解您肩负的确保安全的任务范围。 根据应用场景,您可以选择托管服务,让服务提供商承担更多的服务和模型管理责任,也可以选择构建自己的服务和模型。
我们来看看如何在 AWS 云中使用各种生成式人工智能解决方案。AWS 将安全性放在首要位置,我们相信为客户提供合适的工具来完成工作至关重要。例如,您可以通过由 API 驱动的无服务器 Amazon Bedrock,使用由 AI21 Labs、Anthropic、Cohere、Meta、stability.ai 提供的易于使用的预训练基础模型(FM)和 Amazon Titan。 Amazon SageMaker JumpStart 为您提供额外的灵活性,同时仍使用预训练 FM,帮助您安全地加速人工智能之旅。您还可以在 Amazon SageMaker 上构建和训练自己的模型。或许您可以计划通过 Web 界面或 API 来使用消费者生成式人工智能应用程序,例如聊天机器人,或者嵌入到企业已采购的商业企业应用程序中的生成式人工智能功能。每个这些服务产品都采用了不同的基础设施、软件、访问方法和数据模型,因此会导致不同的安全注意事项。 为保持一致性,我们将这些服务产品按照逻辑进行分类,并将这种分类称为范围。
为了帮助您简化确定安全性范围的工作,我们创建了一个矩阵,将关键安全原则汇总在一起,您可以方便地根据自己选择的生成式人工智能解决方案考虑应使用哪些准则。 我们将此矩阵称为生成式人工智能安全性范围界定矩阵,如图 1 所示。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
