为了解决与生成式人工智能相关的众多安全风险,企业在实施生成式人工智能工具时应牢记以下策略。
(1)在构建或集成生成式人工智能之前,对数据进行分类、匿名和加密
企业应该对数据进行分类,然后再将其输入聊天机器人或使用它来训练生成式人工智能模型。确定哪些数据对于这些用例是可接受的,并且不与人工智能系统共享任何其他信息。
同样,对训练数据集中的敏感数据进行匿名处理,避免泄露敏感信息。加密人工智能模型的数据集及其所有连接,并通过强大的安全策略和控制保护企业最敏感的数据。
(2)对员工进行生成式人工智能安全风险培训,并制定内部使用政策
员工培训是降低生成式人工智能相关网络攻击风险的最关键保护措施。为了负责任地实施生成式人工智能,企业必须教育员工使用这项技术的相关风险。
企业可以通过制定安全和可接受的使用策略,为工作中的生成人工智能使用设定指导方针。尽管具体细节因组织而异,但一般的最佳实践是需要人工监督。不要自动信任人工智能生成的内容。人类应该审查和编辑人工智能工具创造的一切。
人工智能的使用和安全策略还应该明确指出,在对聊天机器人的查询中可以包含哪些数据,哪些数据是不允许的。例如,开发者不应该将知识产权、版权材料等敏感信息添加到人工智能工具中。
(3)为安全提供生成式人工智能工具
针对生成式人工智能工具进行安全审计和定期渗透测试,以便在将其部署到生产环境之前识别安全漏洞。
安全团队还可以通过向人工智能工具提供网络攻击示例来训练它们识别和抵御攻击企图。这降低了黑客成功利用组织人工智能系统的可能性。
(4)管理员工对敏感工作数据的访问权限
在企业环境中应用最小权限原则,只允许授权人员访问人工智能训练数据集和底层IT基础设施。
使用身份和访问管理工具可以帮助集中和控制员工的访问凭据和权限。同样,实施多因素身份验证可以帮助保护人工智能系统和数据访问。
(5)确保底层网络和基础设施是安全的
在专用网段上部署人工智能系统。使用单独的网段,限制对主机人工智能工具的访问,可以增强安全性和可用性。
对于在云中托管人工智能工具的企业,需要选择执行严格安全控制并具有有效合规性认证的信誉良好的云计算提供商。确保所有与云计算基础设施的连接都是加密的。
(6)密切关注合规性需求,包括定期审核供应商
合规性法规在不断发展,随着企业人工智能采用的增加,组织可能会看到更多与生成式人工智能技术相关的合规性要求。
企业应密切关注影响其行业的合规性法规,以了解与使用人工智能系统相关的任何变化。作为这个过程的一部分,当使用第三方供应商的人工智能工具时,定期审查供应商的安全控制和漏洞评估。这有助于确保供应商系统中的任何安全弱点都不会渗透到企业的IT环境中。
