运用生成式人工智能:揭示生成式人工智能工具在网络安全方面的影响
生成式人工智能工具在网络安全方面的影响
可以说,生成式人工智能现在已经引起了每个董事会和商业领袖的关注。曾经是一项难以掌握的边缘技术,现在通过ChatGPT或DALL-E等应用,生成式人工智能的大门已经完全敞开。我们现在正在目睹各行各业和各个年龄群体对生成式人工智能的全面拥抱,员工们正在找到利用这项技术的方法来获得优势。
最近的一项调查显示,29%的Z世代、28%的X世代和27%的千禧一代受访者现在将生成式人工智能工具作为日常工作的一部分。2022年,大规模采用生成式人工智能的比例为23%,预计到2025年将翻倍增长至46%。
生成式人工智能是一种新生但快速发展的技术,利用训练模型在各种形式上生成原创内容,包括书面文本、图像、视频、音乐甚至软件代码。利用大型语言模型(LLMs)和庞大的数据集,这项技术可以立即创建出几乎无法与人类工作区分的独特内容,并在许多情况下更准确和引人入胜。
然而,尽管企业越来越多地使用生成式人工智能来支持日常运营,员工们也迅速上手,但采用速度和缺乏监管引发了重大的网络安全和合规性问题。
根据一项针对普通大众的调查,超过80%的人担心ChatGPT和生成式人工智能带来的安全风险,其中52%的受访者希望暂停生成式人工智能的发展,以便监管法规跟得上。这种广泛的情绪也得到了企业自身的回应,65%的高级IT领导人不愿因安全担忧而支持无摩擦地访问生成式人工智能工具。
生成式人工智能仍然是一个未知的未知
生成式人工智能工具依赖于数据。诸如ChatGPT和DALL-E所使用的模型是在互联网上的外部或免费可获得的数据上进行训练的,但为了充分利用这些工具,用户需要共享非常具体的数据。通常情况下,当使用ChatGPT等工具时,用户会分享敏感的商业信息以获得准确、全面的结果。这给企业带来了很多未知因素。在使用免费可获得的生成式人工智能工具时,未经授权访问或意外泄露敏感信息的风险已经“固化”。
这种风险本身并不一定是坏事。问题在于这些风险尚未得到适当的探索。到目前为止,对于使用广泛可获得的生成式人工智能工具的商业影响尚未进行真正的分析,全球对生成式人工智能使用的法律和监管框架尚未达到成熟。
监管仍然是一个正在进行的工作
监管机构已经在隐私、数据安全和所产生数据的完整性等方面评估生成式人工智能工具。然而,与新兴技术经常发生的情况一样,支持和管理其使用的监管机构滞后了几个步骤。尽管这项技术正在被广泛应用于各个公司和员工,但监管框架仍然停留在纸面上。
这为企业带来了明显和现实的风险,目前却没有被认真对待。高管们自然对这些平台如何引入业务上的实质性收益,例如自动化和增长机会,感兴趣,但风险管理人员则关心这项技术将如何受到监管,法律影响最终可能是什么样的,以及公司数据可能如何受到损害或暴露。这些工具中的许多都可以由任何具有浏览器和互联网连接的用户免费使用,因此在等待监管跟进的同时,企业需要开始非常谨慎地思考自己关于生成式人工智能使用的“内部规则”。
CISO在治理生成式人工智能中的作用
在监管框架仍然不完善的情况下,首席信息安全官(CISO)必须站出来,在组织内管理生成式人工智能的使用。他们需要了解谁在使用这项技术以及出于什么目的,如何在员工与生成式人工智能工具互动时保护企业信息,如何管理底层技术的安全风险,以及如何在安全折衷与技术带来的价值之间取得平衡。
这并不是一项容易的任务。应进行详细的风险评估,以确定在正式部署该技术和允许员工自由使用可获得工具而没有监督的情况下,既带来的负面结果,又带来的正面结果。鉴于生成式人工智能应用的易于访问性,CISO需要仔细考虑公司围绕其使用的政策。员工是否可以自由利用诸如ChatGPT或DALL-E的工具来简化工作?或者对这些工具的访问应该受到限制或以某种方式进行调节,制定内部使用准则和框架?一个明显的问题是,即使内部使用准则已经创建,由于技术发展的速度,它们可能在最终确定之前就已经过时了。
解决这个问题的一种方法实际上可能是将重点从生成性人工智能工具本身转移到数据分类和保护上。数据分类一直是保护数据免受侵犯或泄露的关键方面,这在这个特定的用例中也成立。它涉及对数据分配一定的敏感级别,确定如何处理数据。应该加密吗?应该阻止以进行限制吗?应该通知吗?谁应该访问它,以及允许在哪里共享?通过关注数据的流动而不是工具本身,CISO和安全官员将更有可能减轻一些提到的风险。
像所有新兴技术一样,生成性人工智能对企业来说既是福音又是风险。虽然它提供了自动化和创造性概念化等令人兴奋的新能力,但也引入了一些复杂的数据安全和知识产权保护方面的挑战。尽管监管和法律框架仍在制定中,但企业必须自行权衡机会和风险,制定自己的策略控制措施以反映其整体安全态势。生成性人工智能将推动业务发展,但我们应该谨慎行事。
