亞馬遜雲科技在全球擁有數百萬客戶,每天追蹤的事件達數十億條,這讓亞馬遜雲科技能檢測到更多的安全威脅。
在2019年亞馬遜雲科技首席安全官Steve Schmidt正式宣布推出首個聚焦雲安全問題的會議亞馬遜雲科技re:Inforce,現在大會已經舉辦五屆,成為雲安全的風向標。
Steve Schmidt在2010年加入亞馬遜,並在亞馬遜雲科技首席資訊安全官任職長達12年,2022年起就任亞馬遜首席安全官至今。最近他接受了《華爾街日報》關於生成式AI時代下的企業安全的訪談。
Steve Schmidt說,安全團隊的工作是幫助企業了解生成式AI等創新技術的好處和風險,以及如何利用它來提升企業的安全效率。
亞馬遜雲科技首席安全官Steve Schmidt
生成式AI安全,企業要問三個問題
生成式AI在融入業務的同時也在融入企業的安全當中,Steve Schmidt認為任何企業在談及使用生成式AI的安全問題時,都必須問自己三個問題:
第一,數據在哪裡?
企業需要知道用數據訓練模型的整個工作流程中,這些數據來自哪裡,以及是如何被處理和保護。
第二,我的查詢和任何相關數據會發生什麼?
訓練數據並不是企業需要關注的唯一敏感數據集,當企業及其用戶開始使用生成式AI和大型語言模型時,他們很快就會掌握如何讓查詢更有效。之後會在查詢中添加更多細節和具體要求,從而獲得更好的結果。企業使用生成式AI進行查詢需要清楚知道生成式AI會如何處理輸入進模型的數據以及查詢結果。企業查詢本身也是敏感的,應該成為數據保護計劃的一部分。
第三,生成式AI模型的輸出是否足夠準確?
從安全角度來看,生成式AI的使用場景定義了風險,不同的場景對準確度的要求是不同的。如果你正在使用大型語言模型來生成定製代碼,那麼你就必須要確認這個代碼是否寫得足夠好,是否遵循了你的最佳實踐等等。
在了解了使用生成式AI的安全問題之後,Steve Smith還給出了利用生成式AI進行創新的三條安全建議:
第一,安全團隊說「不」很容易,但不是正確的做法。培訓內部員工了解公司關於使用人工智慧的政策幫助安全地使用。指導員工使用符合公司人工智慧使用政策的方式。對於安全團隊來說,說「不」很容易,但對於所有業務團隊、開發人員等來說,繞過安全團隊也同樣容易。
第二,可見性。企業需要通過可見性的工具來了解員工如何使用數據,限制在工作需求之外的數據訪問,會監控他們如何使用外部服務訪問這些數據。如果發現有不符合政策的情況發生,例如在涉及到非工作需求之外的敏感數據訪問,會停止這種行為。在其他情況下,如果員工使用的數據不太敏感,但是可能會違反政策,會主動聯繫員工去了解真實目的並尋求解決之道。
第三,通過機制解決問題。機制是可重複使用的工具,允許企業隨著時間的流失精確地驅動特定的行為。例如,當員工違規操作時,系統會通過如彈窗來提示員工,並建議使用特定的內部工具,並就相關問題進行報告。
為安全服務提供生成式AI能力
安全一直是亞馬遜雲科技的最高優先級,Steve Schmidt也是亞馬遜安全文化的踐行者和倡導者之一。
「安全團隊要利用開箱即用的生成式AI應用,從代碼階段推動安全行業升級,對任何企業包括亞馬遜都是如此。」這是Steve Schmidt對生成式AI提出的建議。
因為利用生成式AI提升安全代碼的編寫工作能夠有效地推動整個行業進入更高級別的安全領域。
Amazon CodeWhisperer代碼助手以及新型生成式AI助手Amazon Q,都可以幫助企業生成更好的代碼或在軟體工程師編寫代碼時直接提供建議。
Amazon CodeWhisperer是具有內置安全掃描功能的AI編碼助手,能夠幫助開發者基於注釋生成代碼,追蹤開源參考,掃描查找漏洞,同時對個人開發者免費。它還提供定製化功能,允許企業安全地將CodeWhisperer連接到企業內部代碼存儲,以提升CodeWhisperer的效果,加快開發任務的完成速度。
Amazon Q可以在Amazon CodeWhisperer中回答開發人員的各種代碼相關的問題並附上可一鍵實施的代碼,並提供代碼轉換功能,以幫助開發者大幅減少應用程序維護和升級所需的繁瑣工作,將所需的時間從幾天縮短至幾分鐘。
同時,亞馬遜雲科技2023 re:Invent全球大會上,亞馬遜雲科技也推出了具有生成式AI能力的安全服務能力。
Amazon Inspector的Amazon Lambda函數代碼掃描功能現在能夠利用生成式AI和自動推理實現代碼修復。此前的掃描功能能夠突出顯示問題代碼的位置、潛在影響並提供建議,現在生成式AI同能夠為多種類別的漏洞創建與情境相關的代碼補丁。開發者可以快速進行驗證和代碼替換等操作,從而快速有效地解決問題。
Amazon Detective現在能夠使用生成式AI提供調查發現組摘要,生成式AI可以自動分析調查發現組並以自然語言提供洞察,加快進行安全調查。Amazon Detective服務的目的是讓用戶更輕鬆地分析、調查和快速確定潛在安全問題或可疑活動的根本原因。新的生成式AI能力能夠為特定用戶提供更廣泛的安全視角和更多的安全知識。
最近,亞馬遜雲科技與英偉達最新聯合發布中也談到,GB200將受益於Amazon Nitro系統增強的安全性,在客戶端和雲端全程保護客戶的代碼和數據在處理過程中的安全。
Steve Schmidt說,問題不在於安全團隊自身想要做什麼,而在於確保我們始終幫助我們的客戶團隊、內部團隊,朝著他們的目標向前邁進。
