Облачен блесок што обезбедува безбедни практики за вештачка интелигенција

Спецификации

• Производ: Водич за безбедни практики за вештачка интелигенција на GenAI
• Автор: Дон Парзих, директор за маркетинг на производи, Cloudflare
• Содржина: Стратегија за вештачка интелигенција за безбедно експериментирање со генеративна вештачка интелигенција (GenAI)

Информации за производот

Водичот за безбедни практики за вештачка интелигенција на GenAI дава увиди и стратегии за организации кои сакаат безбедно да имплементираат технологии за вештачка интелигенција. Автор: Дон Парзих, овој водич се осврнува на уникатните безбедносни предизвици поврзани со усвојувањето на GenAI, нудејќи совети и најдобри практики за користење, градење и обезбедување на решенија за вештачка интелигенција во голем обем.

Обезбедување безбедни практики за вештачка интелигенција
Водич на CISO за тоа како да се создаде скалабилна стратегија за вештачка интелигенција

Извршно резиме

Добредојде, CISO!
Вештачката интелигенција е можеби најжешкиот збор во денешно време, а воедно е и едно од најитните прашања за безбедносната заедница. Нејзиното влијание бара наше внимание, поради што ние во Cloudflare го напишавме ова упатство за да ви помогнеме да размислите за безбедно експериментирање со генеративна вештачка интелигенција (GenAI) во вашата организација.
Алатките за вештачка интелигенција брзо стануваат сè помоќни и подостапни, отклучувајќи можности за иновации низ индустриите. Сепак, како и со другите промени во парадигмата, GenAI доаѓа со уникатни предизвици за безбедност, приватност и усогласеност. Широкото усвојување на GenAI може да предизвика непредвидени скокови во употребата, случаи на злоупотреба на корисниците, злонамерно однесување и опасни ИТ практики во сенка, зголемувајќи го ризикот од прекршување на безбедноста на податоците и протекување на чувствителни информации.
Како што се шири усвојувањето на вашето работно место, треба да се подготвите со план за GenAI кој ќе ви каже како да го користите, градите и обезбедувате во голем обем. Ајде да разговараме за ризиците и повторно...view совети што вашиот тим може да ги користи за обезбедување на GenAI врз основа на нивоата на зрелост и употреба. Со овие стратегии, вашата организација може да создаде GenAI стратегија што одговара на потребите на бизнисот, а воедно ги заштитува вашите податоци и обезбедува усогласеност.

• Дон Парзих, директор за маркетинг на производи, Cloudflare

 

Обезбедување на експериментирање со GenAI

Жал ми е што морам да ви кажам, но приказната на Сара завршува тука. Додека се збогуваме со нашиот измислен лик, како што се прошируваат предикативните технологии и GenAI, ќе има безброј „Сари“ во реалниот живот - секоја од нив ќе дејствува како херој во ИТ и тимовите за програмери, како бизнис технолози и индивидуални вработени.
Вештачката интелигенција ги воодушеви технолозите и обичните корисници, поттикнувајќи љубопитност и експериментирање. Ова експериментирање е неопходно додека работиме на отклучување на целосниот потенцијал на вештачката интелигенција. Но, без претпазливост и заштитни огради, тоа може да доведе и до компромитирање на безбедноста или до непочитување на прописите.

За да се постигне рамнотежа и поефикасно да се разберат и управуваат со иницијативите за вештачка интелигенција, организациите мора да земат предвид три клучни области:

1. Користење на вештачка интелигенција
   Користење на технологии за вештачка интелигенција (на пр. ChatGPT, Bard и GitHub Copilot) понудени од добавувачи од трети страни, додека се заштитуваат средствата (на пр. чувствителни податоци, интелектуална сопственост, изворен код итн.) и се ублажуваат потенцијалните ризици врз основа на случајот на употреба.
2. Градење вештачка интелигенција
   Развивање на прилагодени решенија за вештачка интелигенција прилагодени на специфичните потреби на организацијата (на пр. сопствени алгоритми за предвидлива аналитика, копилоти или чет-ботови насочени кон клиентите и систем за откривање на закани управуван од вештачка интелигенција)
3. Обезбедување на вештачка интелигенција
   Заштита на апликациите и системите со вештачка интелигенција од лоши актери кои ги манипулираат за да се однесуваат непредвидливо

 

Обезбедување на експериментирање со GenAI

Трансформација на GenAI: денес и во иднина
Привлечноста на GenAI кај потрошувачите и организациите ја постави на невидена траекторија на усвојување. Мала група на моќни корисници брзо се зголеми, делумно благодарение на активната заедница со отворен код и експериментирањето со апликации како ChatGPT и Stable Diffusion, водено од потрошувачите.
Она што корисниците го открија преку сето ова е дека роботите, всушност, нема да „нѐ заменат“.

Генеративната вештачка интелигенција ги става луѓето во позиција на усовршување и подобрување, наместо создавање сè од нула, и може да им помогне на бизнисите. ampда ја зголемат ефикасноста на нивната работна сила. Предвидувачката вештачка интелигенција нуди слични придобивки со тоа што го олеснува користењето на податоци за подобрување на донесувањето одлуки, креирање попаметни производи и персонализирање на искуствата на клиентите, меѓу низа иницијативи.

Денес, 59% од програмерите користат вештачка интелигенција во нивните развојни работни процеси1

До 2026 година, >80% од претпријатијата ќе користат API, модели и/или апликации овозможени со GenAI распоредени во производствени средини (зголемување од 5% денес)2

До 2030 година, GenAI ќе ги зголеми задачите на работниците засновани на знаење за 50% за да ја зголеми продуктивноста или да го подобри просечниот квалитет на работата (во споредба со <1% денес)3

1. SlashData, „Како програмерите комуницираат со технологиите за вештачка интелигенција“, мај 2024 година
2. Гартнер, „Водич на техничкиот директор за генеративната вештачка интелигенција“, септември 2023 година
3. Гартнер, „Технологија во развој: Клучните технолошки пристапи што ја дефинираат генеративната вештачка интелигенција“, септември 2023 година

Безбедно користење на GenAI

Експериментирањето со вештачка интелигенција опфаќа широк спектар, од користење на однапред изградени алатки и услуги за вештачка интелигенција, до градење прилагодени решенија за вештачка интелигенција од нула. Додека некои организации може да напредуваат кон креирање на сопствени модели и апликации за вештачка интелигенција, многумина ќе се држат до користење алатки за вештачка интелигенција од трети страни.
Во овие случаи, алатките за вештачка интелигенција од трети страни создаваат нови ризици бидејќи организациите имаат само ограничени директни контроли врз нивните конфигурации за безбедност и приватност.

Вработените веројатно користат готови алатки за вештачка интелигенција за работа во моментов преку SaaS пакети како Microsoft 365, чет-ботови вградени во пребарувачи или јавни апликации, па дури и API-интерфејси.

Организациите мора да ја спроведат својата длабинска анализа за да ги минимизираат ризиците, вклучувајќи:

• Проценка на безбедносниот ризик од алатки од трети страни
• Решавање на загриженоста за приватноста на податоците
• Управување со зависноста (или прекумерната зависност) од надворешни API-ја
• Мониторинг на потенцијални ранливости

Поранешенampеден од овие би бил кога вработените користат јавни web апликации како ChatGPT. Секој внесен податок во пораката станува дел од податоците што ја напуштаат контролата на организацијата. Корисниците можат да споделуваат чувствителни, доверливи или регулирани информации - како што се лични информации (PII), финансиски податоци, интелектуална сопственост и изворен код. И дури и ако не споделуваат експлицитни чувствителни информации, можно е да се состави контекст од внесените податоци за да се заклучат чувствителни податоци.
Заради заштита, вработените можат да ја исклучат поставката за да спречат нивните влезни податоци да го обучуваат моделот понатаму, но тоа мора да го направат рачно. За да се обезбеди безбедност, организациите имаат потреба од начини да ги спречат луѓето да внесуваат приватни податоци.

Подгответе се за безбедносните импликации од вештачката интелигенција

Изложеност на податоци
До кој степен корисниците неправилно споделуваат чувствителни податоци со надворешни услуги за вештачка интелигенција? Дали техниките за анонимизација/псевдонимизација се доволни?

API ризици
Како ќе се справите со ранливостите во рамките на API-јата од трети страни кои би можеле да бидат потенцијални портали за напаѓачите?

Системи со црна кутија
Кои се процесите на донесување одлуки кај надворешните модели на вештачка интелигенција што би можеле да воведат неочекувани ризици?

Управување со ризик од продавач
Што знаете за безбедносните практики на вашите добавувачи на вештачка интелигенција од трети страни? Уште поважно, што не знаете?

Чекори за одбрана на потрошувачката на вештачка интелигенција

1. Управување со управувањето и ризикот
   • Развијте политики за тоа како и кога да се користи вештачката интелигенција, вклучително и какви информации организацијата им дозволува на корисниците да споделуваат со GenAI, упатства за контрола на пристап, барања за усогласеност и како да се пријавуваат прекршувања.
   • Спроведете проценка на влијанието за да соберете информации, да идентификувате и квантификувате придобивките и ризиците од употребата на вештачка интелигенција
2. Зголемете ја видливоста и контролите за безбедност и приватност
   • Евидентирајте ги сите врски, вклучително и со апликациите за вештачка интелигенција, за континуирано следење на активностите на корисниците, користењето на алатките за вештачка интелигенција и шемите за пристап до податоци за откривање аномалии.
   • Откријте каква сенка на ИТ постои (вклучувајќи алатки за вештачка интелигенција) - и донесувајте одлуки за одобрување, блокирање или слоевито поставување дополнителни контроли
   • Скенирајте ги конфигурациите на SaaS апликациите за потенцијални безбедносни ризици (на пр. дозволи за OAuth доделени од одобрени апликации на неовластени апликации овозможени со вештачка интелигенција, што ризикува изложување на податоци)
3. Испитајте кои податоци влегува и излегува од алатките за вештачка интелигенција и филтрира сè што би можело да ја компромитира интелектуалната сопственост, да влијае на доверливоста или да ги прекрши ограничувањата за авторски права
   • Применувајте безбедносни контроли за тоа како корисниците можат да комуницираат со алатките за вештачка интелигенција (на пр. запирање на прикачувања, спречување на копирање/лепење и скенирање и блокирање на внесување чувствителни/сопственички податоци)
   • Воспоставете заштитни мерки за да ги спречите вештачките ботови да ве „скриптираат“ webсајт
   • Блокирајте ги алатките за вештачка интелигенција директно само ако не се можни други контроли. Како што знаеме, корисниците ќе најдат заобиколни решенија, што ја става безбедноста надвор од ваша контрола.
4. Контролирајте го пристапот до апликациите и инфраструктурата на вештачката интелигенција
   • Обезбедете секој корисник и уред што пристапува до алатки за вештачка интелигенција да помине низ строга проверка на идентитетот за да се утврди кој може да користи алатки за вештачка интелигенција.
   • Имплементирајте контроли за пристап базирани на нулта доверба врз основа на идентитет. Применете најмали привилегии за да ја ограничите потенцијалната штета од компромитирани сметки или внатрешни закани.
5. Намалете ги трошоците и оперативната ефикасност
   • Разберете како луѓето користат апликации за вештачка интелигенција со аналитика и евиденција, за да имате контрола врз ограничувањето на брзината, кеширањето, како и повторните обиди за барања и моделирање на резервни копии како скали на употреба.

Обезбедете го она што го градите

Обучете го вашиот модел на вештачка интелигенција
Интелигентните цевководи го прошируваат спектарот на ранливости. Но, со искуство во обезбедувањето на почетокот и во текот на целиот процес на развој, имаме увид во тоа што води до успех. За безбедноста на интелигенцијата, природното место за почеток е во вашиот модел.
Како основа на апликациите со вештачка интелигенција, сè што се користи за обука на вашиот модел со вештачка интелигенција ќе се пренесе на неговите излезни податоци. Размислете како првично ќе ги обезбедите тие податоци за да избегнете негативни последици подоцна. Ако останете незаштитени, ризикувате да ја проширите вашата површина за напад и да создадете проблеми со апликацијата во иднина.
Безбедноста што го обезбедува интегритетот на податоците е клучна за ублажување на намерното и случајното компромитирање на податоците. Безбедносните ризици во цевководот на вештачката интелигенција може да вклучуваат:

• Труење со податоци: Злонамерните бази на податоци влијаат на резултатите и создаваат пристрасности
• Злоупотреба на халуцинации: Актерите на закана ги легитимираат халуцинациите со вештачка интелигенција - измислувањето информации со цел генерирање одговори - така што злонамерните и нелегитимни збирки податоци ги информираат резултатите.

Алтернативно, ако не тренирате модели, вашата внатрешна вештачка интелигенција би започнала со избирање на модел за извршување на задачи. Во овие случаи, би сакале да истражите како креаторите го направиле и обезбедиле моделот бидејќи тој игра улога во инференцијата.

Заклучок е процесот што следи по обуката за вештачка интелигенција. Колку е подобро обучен еден модел и колку е пофино подесен, толку подобри ќе бидат заклучоците - иако никогаш не е загарантирано дека ќе бидат совршени. Дури и високо обучените модели можат да халуцинираат.

Безбедност по распоредувањето
Откако ќе ја изградите и распоредите вашата внатрешна вештачка интелигенција, ќе треба да ги заштитите нејзините приватни податоци и да обезбедите безбеден пристап до неа. Заедно со препораките што веќе ги дадовме во овој труд, вклучително и спроведување на токени за секој корисник и ограничување на брзината, треба да земете предвид и:

• Управување со квоти: Користи ограничувања за заштита од компромитирање и споделување на API клучевите на корисниците.
• Блокирање на одредени автономни системски броеви (ASN): Ги спречува напаѓачите да испраќаат огромни количини на сообраќај до апликациите.
• Овозможување на чекални или предизвикување на корисниците: Ги отежнува барањата или одзема многу време, уништувајќи ја економијата за напаѓачите.
• Градење и валидација на API шема: Ја опишува наменетата употреба со идентификување и каталогизирање на сите API крајни точки, а потоа ги наведува сите специфични параметри и ограничувања на типовите.
• Анализирање на длабочината и сложеноста на барањата: Помага во заштитата од директни DoS напади и грешки на програмерите, одржувајќи го вашето потекло здраво и доставувајќи барања до вашите корисници како што се очекуваше.
• Градење дисциплина околу пристапот базиран на токени: Штити од компромитиран пристап кога токените се валидираат во слојот на middleware или API Gateway.

Робусна заштита од закани низ вашето GenAI експериментирање
Од усвојување до имплементација, секојtagЕкспериментирањето на GenAI од спектарот треба да напредува со минимален или толериран ризик. Со знаењето стекнато од овој труд, без разлика дали вашата организација користи, гради или планира вештачка интелигенција во некоја форма во иднина, имате моќ да ја контролирате вашата дигитална средина.
Иако е природно да се чувствувате неодлучни кога усвојувате нови можности, постојат ресурси кои ќе ви дадат самодоверба безбедно да експериментирате со вештачка интелигенција. Од тие ресурси, она што на организациите им е најпотребно денес е сврзно ткиво за сè што е поврзано со ИТ и безбедноста. Оној што делува како заедничка нишка што ја намалува сложеноста со работа со сè во околината, е достапен насекаде и ги извршува потребните безбедносни, мрежни и развојни функции.

Со сврзното ткиво, ќе имате доверба во различни случаи на употреба, вклучувајќи:

• Усогласување со прописите со можност за откривање и контрола на движењето на регулирани податоци
• Враќање на видливоста и контролата врз чувствителните податоци низ SaaS апликациите, IT во сенка и новите алатки за вештачка интелигенција.
• Обезбедување на кодот на развивачот преку откривање и блокирање на изворниот код во прикачувањата и преземањата. Плус, спречување, пронаоѓање и поправање на погрешни конфигурации во SaaS апликациите и услугите во облак, вклучувајќи ги и складиштата на код.

Како што вештачката интелигенција продолжува да се развива, неизвесноста е сигурна. Затоа е толку корисно да се има стабилизирачка сила како Cloudflare.

Заштитете се од ризици од вештачка интелигенција низ три вида LLM
Во зависност од употребата, нивото на изложеност на ризик што вештачката интелигенција го создава за една организација ќе варира. Од клучно значење е да се разберат различните ризици поврзани со употребата и развојот на големи јазични модели (LLM), а потоа да се биде активно вклучен во секое распоредување на LLM.

Вид на LLM клучен ризик

• Внатрешен пристап до чувствителни податоци и интелектуална сопственост
• Ризик за репутацијата на производот
• Протекување на јавно чувствителни податоци

Скалирање, леснотија на користење и беспрекорна интеграција
Облакот за поврзување на Cloudflare ја става контролата во ваши раце и ја подобрува видливоста и безбедноста — правејќи го експериментирањето со вештачка интелигенција безбедно и скалабилно. Уште подобро, нашите услуги зајакнуваат сè, осигурувајќи дека нема компромис.
помеѓу корисничкото искуство и безбедноста.
Со оглед на тоа што повеќето организации или ќе користат само вештачка интелигенција или ќе користат и градат, користењето на Cloudflare значи никогаш да не се одложуваат проектите со вештачка интелигенција.

• Нашата глобална мрежа ви овозможува брзо да ги скалирате и спроведувате контролите каде и да ви се потребни.
• Нашата леснотија на користење го олеснува распоредувањето и управувањето со политиките за тоа како вашите корисници ја консумираат вештачката интелигенција.
• Една програмабилна архитектура ви овозможува да додадете повеќе слоеви безбедност на апликациите што ги градите, без да го нарушите начинот на кој вашите корисници ја користат вештачката интелигенција.

Облакот за поврзување на Cloudflare го штити секој аспект од вашето експериментирање со вештачка интелигенција, поточно:

• Нашите услуги за услуга без доверба и безбеден пристап (SASE) помагаат во ублажување на ризикот во начинот на кој вашата работна сила користи алатки за вештачка интелигенција од трети страни.
• Нашата платформа за развивачи ѝ помага на вашата организација безбедно и ефикасно да ги изгради своите алатки и модели на вештачка интелигенција
• За обезбедување со вештачка интелигенција, нашата платформа ги користи техниките на вештачка интелигенција и машинско учење за да изгради интелигенција за закани што потоа се користи за заштита на организациите низ нивното експериментирање со вештачка интелигенција.

Следни чекори
Од заштита на начинот на кој вашата организација користи вештачка интелигенција до одбрана на апликациите за вештачка интелигенција што ги градите, Cloudflare за вештачка интелигенција ве покрива. Со нашите услуги, можете да усвоите нови можности по кој било редослед со неограничена интероперабилност и флексибилни интеграции.

За повеќе информации, посетете cloudflare.com

Овој документ е само за информативни цели и е сопственост на Cloudflare. Овој документ не создава никакви обврски или гаранции од Cloudflare или нејзините подружници кон вас. Вие сте одговорни за сопствена независна проценка на информациите во овој документ. Информациите во овој документ се предмет на промена и не се преправаат дека се сеопфатни или дека ги содржат сите информации што можеби ви се потребни. Одговорностите и обврските на Cloudflare кон неговите клиенти се контролирани со посебни договори, а овој документ не е дел од, ниту пак го менува, никаков договор помеѓу Cloudflare и неговите клиенти. Услугите на Cloudflare се обезбедуваат „како што се“ без гаранции, изјави или услови од каков било вид, без разлика дали се изречни или имплицитни.
© 2024 Cloudflare, Inc. Сите права се задржани. CLOUDFLARE® и логото на Cloudflare се трговски марки на Cloudflare. Сите други имиња и логоа на компании и производи може да бидат трговски марки на соодветните компании со кои се поврзани.

Cloudflare | Обезбедување безбедни практики за вештачка интелигенција1 888 99 FLARE | enterprise@cloudflare.com | Cloudflare.com
REV:BDES-6307.2024AUG1129

Најчесто поставувани прашања

• П: Зошто е важно обезбедувањето на експериментирање со GenAI?
  A: Обезбедувањето на експериментирањето со GenAI е клучно за спречување на пробивање на податоци, злоупотреба на корисници и злонамерно однесување што може да ги компромитира чувствителните информации и да ги наруши организациските операции.
• П: Како организациите можат да ја подобрат безбедноста на вештачката интелигенција?
  A: Организациите можат да ја подобрат безбедноста на вештачката интелигенција преку разбирање на ризиците, користење на реномирани алатки за вештачка интелигенција, градење прилагодени решенија имајќи ја предвид безбедноста и имплементирање робусни безбедносни мерки за заштита на апликациите за вештачка интелигенција.

Документи / ресурси

Облачен блесок што обезбедува безбедни практики за вештачка интелигенција [pdf] Упатство за корисникот Обезбедување безбедни практики со вештачка интелигенција, Обезбедување, безбедни практики со вештачка интелигенција, практики

Референци

• Упатство за употреба