Suar awan Njamin Praktek AI Aman

Spesifikasi

• Produk: GenAI Secure AI Practices Guide
• Pengarang: Dawn Parzych, Direktur Pemasaran Produk, Cloudflare
• Isi: Strategi AI kanggo eksperimen Generative Artificial Intelligence (GenAI) sing aman

Informasi produk

Pandhuan Praktek AI Aman GenAI nyedhiyakake wawasan lan strategi kanggo organisasi sing pengin ngetrapake teknologi AI kanthi aman. Ditulis dening Dawn Parzych, pandhuan iki ngatasi tantangan keamanan unik sing ana gandhengane karo adopsi GenAI, nawakake tips lan praktik paling apik kanggo nggunakake, mbangun, lan ngamanake solusi AI kanthi skala.

Njamin praktik AI sing aman
Pandhuan CISO babagan carane nggawe strategi AI sing bisa diukur

Ringkesan eksekutif

Sugeng rawuh, CISO!
AI bisa dadi tembung sing paling populer ing dina iki, lan uga minangka salah sawijining masalah sing paling penting kanggo komunitas keamanan. Pengaruhe mbutuhake perhatian, mula kita ing Cloudflare nulis pandhuan iki kanggo mbantu sampeyan mikir babagan eksperimen Generative Artificial Intelligence (GenAI) sing aman ing organisasi sampeyan.
AI tools are rapidly becoming more powerful and accessible, unlocking opportunities for innovations across industries. However, as with other paradigm-shifts, GenAI comes with unique security, privacy, and compliance challenges. Widespread GenAI adoption can trigger unforeseen usage spikes, instances of user abuse, malicious behaviors, and hazardous shadow IT practices, all increasing the risk of data breaches and sensitive information leaks.
Nalika adopsi berkembang ing papan kerja, sampeyan kudu nyiapake cithak biru GenAI sing ngandhani carane nggunakake, mbangun, lan ngamanake kanthi skala. Ayo dadi ngrembug risiko lan review tips sing bisa digunakake tim sampeyan kanggo ngamanake GenAI adhedhasar tingkat kedewasaan lan panggunaan. Kanthi strategi kasebut, organisasi sampeyan bisa nggawe strategi GenAI sing cocog karo kabutuhan bisnis nalika nglindhungi data lan njamin kepatuhan.

• Dawn Parzych, Direktur Pemasaran Produk, Cloudflare

 

Ngamanake eksperimen GenAI

Nuwun sewu, nanging critane Sarah rampung ing kono. Nalika kita ngucapake pamit kanggo karakter fiksi kita, minangka prediktif lan GenAI ngembang, bakal ana "Sarahs" sing ora kaetung ing urip nyata - saben tumindak minangka pahlawan ing tim IT lan pangembang, minangka teknologi bisnis, lan karyawan individu.
AI wis nggumunake para teknolog lan pangguna saben dinane, nyebabake rasa penasaran lan tinkering. Eksperimen iki perlu nalika kita kerja kanggo mbukak kunci potensial lengkap AI. Nanging tanpa ati-ati lan pager, bisa uga nyebabake keamanan kompromi utawa ora manut.

Kanggo entuk keseimbangan, lan ngerti lan ngatur inisiatif AI kanthi luwih efektif, organisasi kudu nimbang telung area utama:

1. Nggunakake AI
   Nggunakake teknologi AI (contone ChatGPT, Bard, lan GitHub Copilot) sing ditawakake vendor pihak katelu nalika njaga aset (contone, data sensitif, properti intelektual, kode sumber, lsp.) lan nyuda potensial risiko adhedhasar kasus panggunaan
2. Bangunan AI
   Ngembangake solusi AI khusus sing dicocogake karo kabutuhan tartamtu organisasi (contone, algoritma proprietary kanggo analytics prediktif, co-pilot utawa chatbot sing ngadhepi pelanggan, lan sistem deteksi ancaman sing didorong AI)
3. Ngamanake AI
   Nglindhungi aplikasi AI lan sistem AI saka aktor ala sing manipulasi supaya tumindak ora bisa ditebak

 

Ngamanake eksperimen GenAI

Transformasi GenAI: dina iki lan ing mangsa ngarep
Daya tarik GenAI kanggo konsumen lan organisasi wis nyetel lintasan adopsi sing durung rampung sadurunge. Klompok cilik pangguna daya tansaya cepet amarga sebagian saka komunitas open source sing aktif lan eksperimen aplikasi sing didorong konsumen kaya ChatGPT lan Stable Diffusion.
Apa sing ditemokake pangguna liwat kabeh iki yaiku robot ora, nyatane, "ngganti kita."

GenAI nempatake manungsa ing posisi nyaring lan nambah, tinimbang nggawe kabeh saka awal, lan bisa mbantu bisnis ampningkatake efisiensi tenaga kerja. Prediktif AI nawakake keuntungan sing padha kanthi nggampangake nggunakake data kanggo nambah keputusan, nggawe produk sing luwih cerdas, lan nggawe pengalaman pelanggan kanthi pribadi, ing antarane macem-macem inisiatif.

Saiki, 59% pangembang saiki nggunakake AI ing alur kerja pangembangane1

Ing taun 2026,> 80% perusahaan bakal nggunakake API, model, lan/utawa aplikasi sing didhukung GenAI sing dipasang ing lingkungan produksi (saka 5% saiki)2

Ing taun 2030, GenAI bakal nambah 50% tugas buruh kawruh kanggo ningkatake produktivitas utawa ngunggahake rata-rata kualitas karya (saka <1% saiki)3

1. SlashData, "Carane pangembang sesambungan karo teknologi AI," Mei 2024
2. Gartner, "Pandhuan CTO kanggo Lanskap Teknologi AI Generatif", Sept 2023
3. Gartner, "Emerging Tech: The Key Technology Approaches That Define Generative AI", Sept 2023

Nggunakake GenAI kanthi aman

Eksperimen AI kalebu spektrum saka nggunakake alat lan layanan AI sing wis dibangun kanggo mbangun solusi AI khusus saka awal. Nalika sawetara organisasi bisa maju nggawe model lan aplikasi AI dhewe, akeh sing bakal nggunakake alat AI pihak katelu.
Ing kasus kasebut, alat AI pihak katelu nggawe risiko anyar amarga organisasi mung duwe kontrol langsung winates ing konfigurasi keamanan lan privasi.

Karyawan bisa uga nggunakake alat AI sing ora bisa digunakake kanggo kerja saiki liwat suite SaaS kaya Microsoft 365, chatbots sing dibangun ing mesin telusur utawa aplikasi umum, lan uga API.

Organisasi kudu nindakake kanthi teliti kanggo nyuda resiko, kalebu:

• Ngevaluasi risiko keamanan alat pihak katelu
• Ngatasi masalah privasi data
• Ngatur katergantungan (utawa overreliance) ing API eksternal
• Ngawasi kerentanan potensial

Example iki bakal nalika karyawan nggunakake umum web aplikasi kaya ChatGPT. Saben input sing dikirim menyang pituduh dadi potongan data sing ninggalake kontrol organisasi. Pangguna bisa mbagi informasi sing sensitif, rahasia, utawa diatur - kaya Informasi sing Bisa Dikenal Pribadi (PII), data finansial, properti intelektual, lan kode sumber. Lan sanajan dheweke ora nuduhake informasi sensitif sing eksplisit, bisa uga nggabungake konteks saka input kanggo nyimpulake data sensitif.
Kanggo njaga, karyawan bisa milih setelan kanggo nyegah input saka latihan model luwih, nanging kudu nindakake kanthi manual. Kanggo njamin keamanan, organisasi butuh cara supaya wong ora mlebu data pribadi.

Siapke implikasi keamanan AI

Paparan Data
Sepira pangguna ora nuduhake data sensitif karo layanan AI eksternal? Apa teknik anonimisasi / pseudonymization cukup?

Risiko API
Kepiye cara ngatasi kerentanan ing API pihak katelu sing bisa dadi gateway potensial kanggo penyerang?

Sistem Black-Box
Apa proses nggawe keputusan model AI eksternal sing bisa ngenalake risiko sing ora dikarepake?

Manajemen Risiko Vendor
Apa sampeyan ngerti babagan praktik keamanan panyedhiya AI pihak katelu? Sing luwih penting, apa sampeyan ora ngerti?

Langkah kanggo defend konsumsi AI

1. Ngatur governance lan resiko
   • Ngembangake kabijakan babagan carane lan kapan nggunakake AI, kalebu informasi apa sing diidinake organisasi kanggo dienggo bareng karo GenAI, pedoman kontrol akses, syarat kepatuhan, lan cara nglaporake pelanggaran.
   • Nindakake penilaian dampak kanggo ngumpulake informasi, ngenali, lan ngitung keuntungan lan risiko panggunaan AI
2. Nambah visibilitas lan kontrol kanggo keamanan lan privasi
   • Log kabeh sambungan, kalebu menyang aplikasi AI, kanggo terus ngawasi aktivitas pangguna, panggunaan alat AI, lan pola akses data kanggo ndeteksi anomali
   • Temokake apa bayangan IT sing ana (kalebu alat AI) -lan nggawe keputusan kanggo nyetujoni, mblokir, utawa lapisan kontrol tambahan
   • Pindai konfigurasi aplikasi SaaS kanggo risiko keamanan sing potensial (contone, ijin OAuth sing diwenehake saka aplikasi sing disetujoni menyang aplikasi sing ora sah AI-aktif, risiko paparan data)
3. Priksa data apa mlebu lan metu saka alat AI lan nyaring apa wae sing bisa kompromi IP, mengaruhi kerahasiaan, utawa nglanggar watesan hak cipta
   • Gunakake kontrol keamanan kanggo carane pangguna bisa sesambungan karo alat AI (contone, mungkasi unggahan, nyegah nyalin/tempel, lan mindhai lan mblokir input data sensitif/kepemilikan)
   • Pasang pangayoman kanggo ngalangi bot AI supaya ora ngrusak sampeyan websitus
   • Blokir alat AI langsung yen ora ana kontrol liyane. Kaya sing wis dingerteni, pangguna bakal nemokake solusi, sing ndadekake keamanan ora bisa dikendhaleni
4. Kontrol akses menyang aplikasi lan infrastruktur AI
   • Priksa manawa saben pangguna lan piranti sing ngakses alat AI ngalami verifikasi identitas sing ketat kanggo ruang lingkup sing bisa nggunakake alat AI
   • Ngleksanakake kontrol akses Zero Trust basis identitas. Aplikasi hak istimewa kanggo matesi karusakan potensial saka akun kompromi utawa ancaman insider
5. Streamline biaya lan efisiensi operasional
   • Ngerti carane wong nggunakake aplikasi AI kanthi analytics lan logging supaya sampeyan bisa ngontrol watesan tarif, cache, uga njaluk nyoba maneh, lan model mundur minangka skala panggunaan.

Ngamanake apa sing dibangun

Latih model AI sampeyan
Pipa AI ngembangake spektrum kerentanan. Nanging kanthi pengalaman ngamanake ing wiwitan lan sajrone proses pangembangan, kita duwe wawasan babagan apa sing nyebabake sukses. Kanggo keamanan AI, panggonan alami kanggo miwiti ana ing model sampeyan.
Minangka basis aplikasi AI, kabeh sing digunakake kanggo nglatih model AI sampeyan bakal mlaku menyang output. Coba kepiye carane sampeyan bakal ngamanake data kasebut ing wiwitan supaya ora ana akibat negatif mengko. Yen ora dilindhungi, sampeyan duwe risiko ngembangake serangan lan nggawe masalah aplikasi ing dalan.
Keamanan sing njamin integritas data penting kanggo nyuda kompromi data sing disengaja lan ora sengaja. Resiko keamanan ing pipa AI bisa kalebu:

• Keracunan data: Dhata data mbebayani mengaruhi asil lan nggawe bias
• Penyalahgunaan halusinasi: Aktor ancaman legitimasi halusinasi AI - panemuan informasi kanggo ngasilake respon - supaya dataset sing ala lan ora sah ngandhani output

Utawa, yen sampeyan dudu model latihan, AI ing omah bakal diwiwiti kanthi milih model kanggo nindakake tugas. Ing kasus kasebut, sampeyan pengin njelajah carane pangripta nggawe lan ngamanake model kasebut amarga nduweni peran ing inferensi.

Inferensi yaiku proses sing nderek pelatihan AI. Model sing dilatih luwih apik, lan luwih apik, inferensi sing luwih apik - sanajan ora dijamin sampurna. Malah model sing dilatih banget bisa halusinasi.

Keamanan pasca penyebaran
Sawise sampeyan mbangun lan masang AI ing omah, sampeyan kudu nglindhungi data pribadi lan ngamanake akses menyang. Bebarengan karo rekomendasi sing wis digawe ing makalah iki, kalebu ngetrapake token kanggo saben pangguna lan watesan tarif, sampeyan uga kudu nimbang:

• Ngatur kuota: Gunakake watesan kanggo nglindhungi kunci API pangguna supaya ora dikompromi lan dienggo bareng
• Watesan nomer sistem otonom (ASN) tartamtu: Ngalangi panyerang ngirim lalu lintas sing akeh banget menyang aplikasi
• Ngaktifake ruang tunggu utawa pangguna sing nantang: Ndadekake panjaluk luwih angel utawa butuh wektu, ngrusak ekonomi para penyerang
• Nggawe lan validasi skema API: Nerangake panggunaan sing dimaksudake kanthi ngenali lan menehi katalog kabeh titik pungkasan API, banjur dhaptar kabeh parameter tartamtu lan watesan jinis.
• Nganalisis kedalaman lan kerumitan pitakon: Mbantu njaga serangan DoS lan kesalahan pangembang, supaya asal-usul sampeyan tetep sehat lan menehi panjaluk marang pangguna kaya sing dikarepake.
• Mbangun disiplin babagan akses adhedhasar token: Nglindhungi saka akses sing dikompromi nalika token validasi ing lapisan middleware utawa API Gateway

Perlindhungan ancaman sing kuat ing eksperimen GenAI sampeyan
Saka Adoption kanggo implementasine, saben stage saka spektrum eksperimen GenAI kudu maju kanthi resiko minimal utawa ditoleransi. Kanthi kawruh sing dipikolehi saka makalah iki, apa organisasi sampeyan nggunakake, mbangun, utawa ngrancang AI ing sawetara wujud ing mangsa ngarep, sampeyan duwe kekuwatan kanggo ngontrol lingkungan digital sampeyan.
Nalika iku wajar kanggo rumangsa ragu-ragu nalika nggunakake kapabilitas anyar, sumber daya ana kanggo menehi kapercayan kanggo nyoba AI kanthi aman. Saka sumber daya kasebut, sing paling dibutuhake organisasi saiki yaiku jaringan ikat kanggo kabeh IT lan keamanan. Siji sing tumindak minangka utas umum sing nyuda kerumitan kanthi nggarap kabeh sing ana ing lingkungan, kasedhiya ing endi wae, lan nindakake fungsi keamanan, jaringan, lan pangembangan sing dibutuhake.

Kanthi jaringan ikat, sampeyan bakal duwe kapercayan ing macem-macem kasus panggunaan, kalebu:

• Patuh karo peraturan kanthi kemampuan kanggo ndeteksi lan ngontrol gerakan data sing diatur
• Nambah visibilitas lan kontrol data sensitif ing aplikasi SaaS, bayangan IT, lan alat AI sing berkembang
• Ngamanake kode pangembang kanthi ndeteksi lan mblokir kode sumber ing unggahan lan undhuhan. Kajaba iku, nyegah, nemokake, lan ndandani salah konfigurasi ing aplikasi SaaS lan layanan awan, kalebu repositori kode

Nalika AI terus berkembang, kahanan sing durung mesthi mesthi. Pramila gadhah daya ajeg kaya Cloudflare migunani banget.

Nglindhungi saka risiko AI ing telung jinis LLM
Gumantung saka panggunaan, tingkat paparan risiko sing digawe AI kanggo organisasi bakal beda-beda. Penting kanggo ngerti macem-macem risiko sing ana gandhengane karo panggunaan lan pangembangan Model Basa Gedhe (LLM), banjur aktif melu penyebaran LLM.

Tipe risiko kunci LLM

• Akses Internal menyang data sensitif lan properti intelektual
• Risiko Reputasi Produk
• Kebocoran data Sensitif Publik

Skala, gampang digunakake, lan integrasi sing mulus
Cloud konektivitas Cloudflare ndadekake kontrol menyang tangan sampeyan lan nambah visibilitas lan keamanan - nggawe eksperimen AI aman lan bisa diukur. Luwih apik, layanan kita nguatake kabeh, mesthekake yen ora ana ijol-ijolan
antarane pengalaman pangguna lan keamanan.
Amarga umume organisasi mung bakal nggunakake AI utawa bakal nggunakake lan mbangun, nggunakake Cloudflare tegese ora bakal mandheg ing proyek AI.

• Jaringan global kita ngidini sampeyan ngukur lan ngetrapake kontrol kanthi cepet ing endi wae sing dibutuhake
• Gampang digunakake nggawe gampang kanggo nyebarake lan ngatur kabijakan babagan carane pangguna nggunakake AI
• Siji arsitektur sing bisa diprogram ngidini sampeyan nggawe lapisan keamanan ing aplikasi sing dibangun, tanpa ngganggu cara pangguna nggunakake AI.

Cloud konektivitas Cloudflare nglindhungi saben aspek eksperimen AI, khususe:

• Layanan Zero Trust & Secure Access Service Edge (SASE) mbantu nyuda risiko babagan cara tenaga kerja sampeyan nggunakake alat AI pihak katelu
• Platform pangembang kita mbantu organisasi sampeyan nggawe alat lan model AI dhewe kanthi aman lan efisien
• Kanggo ngamanake AI, platform kita nggunakake teknik pembelajaran AI lan mesin kanggo mbangun intelijen ancaman sing banjur digunakake kanggo nglindhungi organisasi ing eksperimen AI.

Langkah sabanjure
Saka nglindhungi carane organisasi sampeyan nggunakake AI kanggo mbela aplikasi AI sing sampeyan gawe, Cloudflare kanggo AI wis dijamin. Kanthi layanan kita, sampeyan bisa nggunakake kapabilitas anyar ing urutan apa wae kanthi interoperabilitas tanpa wates lan integrasi fleksibel.

Kanggo informasi luwih lengkap, bukak cloudflare.com

Dokumen iki mung kanggo tujuan informasi lan minangka properti Cloudflare. Dokumen iki ora nggawe komitmen utawa jaminan saka Cloudflare utawa afiliasi kanggo sampeyan. Sampeyan tanggung jawab kanggo nggawe pambiji dhewe babagan informasi ing dokumen iki. Informasi ing dokumen iki bisa diganti lan ora kalebu kabeh utawa ngemot kabeh informasi sing sampeyan butuhake. Tanggung jawab lan tanggung jawab Cloudflare marang para pelanggan dikontrol dening perjanjian sing kapisah, lan dokumen iki dudu bagean saka, utawa ora ngowahi, persetujuan apa wae antarane Cloudflare lan para pelanggan. Layanan Cloudflare disedhiyakake "kaya" tanpa jaminan, perwakilan, utawa kondisi apa wae, kanthi nyata utawa diwenehake.
© 2024 Cloudflare, Inc. Kabeh hak dilindhungi undhang-undhang. CLOUDFLARE® lan logo Cloudflare minangka merek dagang Cloudflare. Kabeh jeneng perusahaan lan produk liyane lan logo bisa uga merek dagang saka perusahaan sing gegandhengan.

Cloudflare | Njamin praktik AI sing aman1 888 99 FLARE | enterprise@cloudflare.com | Cloudflare.com
REV:BDES-6307.2024AUG1129

Pitakonan sing Sering Ditakoni

• P: Napa ngamanake eksperimen GenAI penting?
  A: Ngamanake eksperimen GenAI iku penting kanggo nyegah pelanggaran data, penyalahgunaan pangguna, lan prilaku ala sing bisa kompromi informasi sensitif lan ngganggu operasi organisasi.
• P: Kepiye organisasi bisa nambah keamanan AI?
  A: Organisasi bisa ningkatake keamanan AI kanthi mangerteni risiko, nggunakake alat AI sing biso dipercoyo, mbangun solusi khusus kanthi keamanan, lan ngetrapake langkah-langkah keamanan sing kuat kanggo nglindhungi aplikasi AI.

Dokumen / Sumber Daya

Suar awan Njamin Praktek AI Aman [pdf] Pandhuan pangguna Njamin Praktek AI Aman, Mesthekake, Praktek AI Aman, Praktek

Referensi

• Manual pangguna