第一階段：從智能編碼工具開(kāi)始擁抱GenAI，它對(duì)安全有積極作用

我們看到，亞馬遜以及亞馬遜云科技都在積極擁抱生成式AI技術(shù)。2023年上半年，亞馬遜云科技就宣布發(fā)布做大模型托管的專業(yè)服務(wù)Amazon Bedrock以及用于代碼生成的智能服務(wù)Amazon CodeWhisper。

具體到安全方面，Steve Schmidt肯定了生成式AI來(lái)寫代碼對(duì)于提高軟件開(kāi)發(fā)安全性的價(jià)值。他表示，“我認(rèn)為利用生成式AI提升安全代碼的編寫工作，能夠有效地推動(dòng)整個(gè)行業(yè)進(jìn)入更高級(jí)別的安全領(lǐng)域?！?/p>

Steve Schmidt認(rèn)為，生成式AI能讓我們?cè)谝婚_(kāi)始就編寫更加安全的代碼，對(duì)安全行業(yè)影響深遠(yuǎn)。從安全和成本的角度來(lái)看，從最開(kāi)始編寫安全的代碼，要比在軟件開(kāi)發(fā)后期修改更有效。代碼編寫方式是信息安全的關(guān)鍵，早期的小問(wèn)題可能導(dǎo)致嚴(yán)重的安全后果。

Amazon CodeWhisperer是一個(gè)具有內(nèi)置安全掃描功能的AI編碼助手，能夠基于注釋生成代碼、追蹤開(kāi)源參考并掃描查找漏洞。這個(gè)工具對(duì)個(gè)人開(kāi)發(fā)者免費(fèi)，對(duì)提高代碼的安全性具有實(shí)際幫助，是所有開(kāi)發(fā)者都可以輕松用起來(lái)的工具。

業(yè)內(nèi)很多技術(shù)專家都認(rèn)可，程序開(kāi)發(fā)是人工智能的最早落地的典型場(chǎng)景之一。因?yàn)锳I可以處理復(fù)雜的數(shù)據(jù)分析任務(wù)，自動(dòng)化重復(fù)性工作，還能提供智能決策支持，這些都是提高程序開(kāi)發(fā)效率和質(zhì)量的關(guān)鍵因素。

如果企業(yè)的開(kāi)發(fā)者積極采用像Amazon CodeWhisperer這樣的智能代碼編寫工具，不僅能提高代碼編寫效率，還能幫助識(shí)別潛在的代碼缺陷和安全漏洞。對(duì)企業(yè)來(lái)說(shuō)，可以從智能代碼編寫工具開(kāi)始擁抱生成式AI，在安全方面帶來(lái)積極影響。

第二階段：企業(yè)落地GenAI時(shí)候要注意的安全挑戰(zhàn)

在談到企業(yè)在使用生成式AI要注意的安全問(wèn)題時(shí)，Steve Schmidt認(rèn)為應(yīng)該先考慮三個(gè)主要的安全挑戰(zhàn)。

首先，是關(guān)于數(shù)據(jù)來(lái)源和管理的問(wèn)題。企業(yè)需要了解用來(lái)用于模型訓(xùn)練的數(shù)據(jù)來(lái)自哪里，以及這些數(shù)據(jù)在整個(gè)工作流程中是如何被處理和保護(hù)的。

第二，對(duì)查詢數(shù)據(jù)的保護(hù)也同樣重要。除了訓(xùn)練數(shù)據(jù)，企業(yè)在使用生成式AI時(shí)輸入的查詢也可能會(huì)包含敏感信息。企業(yè)需要清楚這些數(shù)據(jù)如何被AI服務(wù)處理，以及查詢結(jié)果是如何產(chǎn)生的。所以，保護(hù)查詢數(shù)據(jù)的重要性不亞于訓(xùn)練數(shù)據(jù)。

第三點(diǎn)，輸出的準(zhǔn)確性。不同使用場(chǎng)景對(duì)AI模型輸出的準(zhǔn)確性有不同的要求。企業(yè)需要確保AI模型的輸出不僅準(zhǔn)確，還符合企業(yè)的最佳實(shí)踐和業(yè)務(wù)需求。比如在生成代碼時(shí)，需要確認(rèn)代碼是否符合預(yù)期標(biāo)準(zhǔn)等。

結(jié)合亞馬遜內(nèi)部的實(shí)踐經(jīng)驗(yàn)，Steve Schmidt也給出了企業(yè)內(nèi)部落地生成式AI的三個(gè)安全建議。

第一個(gè)建議是幫助員工安全地用AI。他認(rèn)為，安全團(tuán)隊(duì)不要簡(jiǎn)單拒絕員工使用新技術(shù)，而是應(yīng)該教育、指導(dǎo)員工如何安全地使用AI，可以設(shè)置一些防護(hù)欄，在技術(shù)上使用能夠滿足安全預(yù)設(shè)目標(biāo)的云服務(wù)。

第二個(gè)建議是增強(qiáng)數(shù)據(jù)使用的可見(jiàn)性。他認(rèn)為，應(yīng)該使用專業(yè)的工具來(lái)更好地監(jiān)控員工是如何使用數(shù)據(jù)的。有了好的數(shù)據(jù)監(jiān)控技術(shù)之后，就可以限制員工在工作需求之外訪問(wèn)數(shù)據(jù)，監(jiān)控員工如何使用外部服務(wù)，甚至可以主動(dòng)解決可能違反數(shù)據(jù)使用政策的行為。

第三個(gè)，建立機(jī)制來(lái)引導(dǎo)和改善員工的行為。機(jī)制是可重復(fù)使用的工具，允許我們隨著時(shí)間的流失精確地驅(qū)動(dòng)特定的行為。例如，當(dāng)員工違規(guī)操作時(shí)，系統(tǒng)會(huì)通過(guò)如彈窗來(lái)提示員工，并建議使用特定的內(nèi)部工具，并就相關(guān)問(wèn)題進(jìn)行報(bào)告。

第三階段：企業(yè)利用生成式AI來(lái)對(duì)抗安全威脅

Steve Schmidt介紹如何用生成式AI來(lái)對(duì)抗安全威脅。

首先，生成式AI可以提高安全工程師的工作效率。通過(guò)構(gòu)建自動(dòng)響應(yīng)流程，AI可以幫助安全團(tuán)隊(duì)優(yōu)先處理發(fā)現(xiàn)的問(wèn)題，并自動(dòng)化事件響應(yīng)。這種方法可以讓安全團(tuán)隊(duì)將更多精力放在高價(jià)值任務(wù)上。

大型模型還有助于非技術(shù)管理人員在安全事件發(fā)生時(shí)快速理解情況。去年，亞馬遜云科技推出了Amazon Detective，它使用生成式AI來(lái)生成安全事件的文字描述，安全工程師就不需要從頭開(kāi)始編寫報(bào)告了，只需調(diào)整和確保描述的準(zhǔn)確性即可。

Steve Schmidt認(rèn)為，生成式AI可以幫助緩解網(wǎng)絡(luò)安全人才短缺的問(wèn)題，但并不認(rèn)為AI會(huì)取代安全人員的工作。

他表示，生成式AI增強(qiáng)了人的能力，而不是替代人。生成式AI可以幫助安全人員更快更有效地識(shí)別和解決安全問(wèn)題，消除安全工程師經(jīng)常必須做的一些重復(fù)性工作，使他們能夠更有效地完成其他工作。在他看來(lái)，世界上真正有技術(shù)的安全工程師是不夠的。

Steve Schmidt表示，生成式AI讓亞馬遜能夠雇傭更少的人來(lái)完成必要的工作。它可以幫助企業(yè)降低運(yùn)營(yíng)費(fèi)用，但是，由于合適的人才很難找，所以，亞馬遜一直在招聘安全人員，未來(lái)也會(huì)繼續(xù)招聘安全人員。

結(jié)束語(yǔ)

總之，Steve Schmidt的分享讓我們看到了生成式AI在提高企業(yè)網(wǎng)絡(luò)安全方面的潛力。雖然安全挑戰(zhàn)很多，但利用新的技術(shù)，企業(yè)可以不僅提高其安全防御能力，還可以優(yōu)化資源分配和提升工作效率?？梢哉J(rèn)為，企業(yè)在安全工作方面，應(yīng)該積極擁抱生成式AI。

zhupb