Mwako wa wingu Kuhakikisha Mazoezi ya AI Salama

Vipimo

• Bidhaa: GenAI Secure AI Practices Guide
• Mwandishi: Dawn Parzych, Mkurugenzi wa Uuzaji wa Bidhaa,Cloudflare
• Maudhui: Mkakati wa AI kwa ajili ya majaribio salama ya Ujasusi Usanifu wa Kuzalisha (GenAI).

Taarifa ya Bidhaa

Mwongozo wa Mazoezi ya AI Salama ya GenAI hutoa maarifa na mikakati kwa mashirika yanayotafuta kutekeleza teknolojia za AI kwa usalama. Iliyoandikwa na Dawn Parzych, mwongozo huu unashughulikia changamoto za kipekee za usalama zinazohusiana na kupitishwa kwa GenAI, kutoa vidokezo na mbinu bora za kutumia, kujenga, na kupata suluhu za AI kwa kiwango kikubwa.

Kuhakikisha mazoea salama ya AI
Mwongozo wa CISO kuhusu jinsi ya kuunda mkakati wa AI unaoweza kusambazwa

Muhtasari wa Mtendaji

Karibu, CISO!
AI labda ndilo neno linalovutia zaidi siku hizi, na pia ni mojawapo ya masuala muhimu zaidi kwa jumuiya ya usalama. Ushawishi wake unadai usikivu wetu, ndiyo maana sisi katika Cloudflare tuliandika mwongozo huu ili kukusaidia kufikiria kupitia majaribio salama ya Ujasusi wa Kuzalisha Artificial (GenAI) katika shirika lako.
Zana za AI zinakuwa na nguvu zaidi na kupatikana kwa haraka, na kufungua fursa za uvumbuzi katika tasnia. Walakini, kama ilivyo kwa mabadiliko mengine ya dhana, GenAI inakuja na usalama wa kipekee, faragha, na changamoto za kufuata. Kupitishwa kwa GenAI kwa wingi kunaweza kusababisha ongezeko la matumizi lisilotarajiwa, matukio ya matumizi mabaya ya watumiaji, tabia mbovu, na mbinu hatari za teknolojia ya habari, yote yakiongeza hatari ya ukiukaji wa data na uvujaji wa taarifa nyeti.
Kadiri uasili unavyoongezeka katika eneo lako la kazi, unahitaji kujiandaa na mchoro wa GenAI unaofahamisha jinsi ya kutumia, kujenga na usalama kwa kiwango. Wacha tujadili hatari na review vidokezo ambavyo timu yako inaweza kutumia kupata GenAI kulingana na viwango vya ukomavu na matumizi. Kwa mikakati hii, shirika lako linaweza kuunda mkakati wa GenAI ambao unalingana na mahitaji ya biashara huku ukilinda data yako na kuhakikisha unafuatwa.

• Dawn Parzych, Mkurugenzi wa Uuzaji wa Bidhaa, Cloudflare

 

Kulinda majaribio ya GenAI

Samahani kukuambia, lakini hadithi ya Sarah inaishia hapo. Wakati tunaagana na mhusika wetu wa kubuni, jinsi utabiri na GenAI inavyopanuka, kutakuwa na "Sarah" nyingi katika maisha halisi - kila mmoja akifanya kama shujaa kwenye IT na timu za wasanidi programu, kama wanateknolojia wa biashara, na wafanyikazi mahususi.
AI imevutia wanateknolojia na watumiaji wa kila siku sawa, na kuzua udadisi na kucheza. Jaribio hili ni muhimu tunapofanya kazi ili kufungua uwezo kamili wa AI. Lakini bila tahadhari na ulinzi, inaweza pia kusababisha kuhatarisha usalama au kuanguka kwa kufuata.

Ili kufikia usawa, na kuelewa na kudhibiti mipango ya AI kwa ufanisi zaidi, mashirika lazima yazingatie maeneo matatu muhimu:

1. Kwa kutumia AI
   Kutumia teknolojia za AI (km ChatGPT, Bard, na GitHub Copilot) zinazotolewa na wachuuzi wengine huku wakilinda mali (km data nyeti, uvumbuzi, msimbo wa chanzo, n.k.) na kupunguza hatari zinazoweza kutokea kulingana na kesi ya utumiaji.
2. Kujenga AI
   Kutengeneza masuluhisho maalum ya AI yanayolingana na mahitaji mahususi ya shirika (kwa mfano kanuni za umiliki za uchanganuzi wa kubashiri, marubani au chatbots zinazowakabili wateja, na mfumo wa kutambua vitisho unaoendeshwa na AI)
3. Kulinda AI
   Kulinda programu za AI na mifumo ya AI kutoka kwa watendaji wabaya wanaoidanganya ili kuishi bila kutabirika.

 

Kulinda majaribio ya GenAI

Mabadiliko ya GenAI: leo na katika siku zijazo
Rufaa ya GenAI kwa watumiaji na mashirika imeiweka katika mwelekeo wa kupitishwa ambao haujawahi kufanywa. Kikundi kidogo cha watumiaji wa nishati kilikua haraka kutokana na jumuiya ya chanzo huria inayotumika na majaribio yanayoendeshwa na watumiaji wa programu kama vile ChatGPT na Usambazaji Imara.
Kile ambacho watumiaji wamepata kupitia hayo yote ni kwamba roboti, kwa kweli, "hazitatubadilisha."

GenAI inawaweka wanadamu katika nafasi ya kuboresha na kuongeza, badala ya kuunda kila kitu kutoka mwanzo, na inaweza kusaidia biashara. ampkuongeza ufanisi wa nguvu kazi yao. Predictive AI hutoa manufaa sawa kwa kurahisisha kugusa data ili kuboresha ufanyaji maamuzi, kuunda bidhaa bora zaidi, na kubinafsisha hali ya utumiaji ya wateja, kati ya mipango mbalimbali.

Leo, 59% ya wasanidi programu kwa sasa wanatumia AI katika utayarishaji kazi wao1

Kufikia 2026, >80% ya makampuni ya biashara yatakuwa yanatumia API, miundo na/au programu zinazotolewa katika mazingira ya uzalishaji (kutoka 5% leo) inayoweza kutumia GenAI)2

Kufikia 2030, GenAI itaongeza 50% ya majukumu ya wafanyikazi wa maarifa ili kuongeza tija au kuinua wastani wa ubora wa kazi (kutoka <1% leo)3

1. SlashData, "Jinsi wasanidi programu huingiliana na teknolojia za AI," Mei 2024
2. Gartner, "Mwongozo wa CTO kwa Mazingira ya Teknolojia ya AI ya Kuzalisha", Septemba 2023
3. Gartner, "Tech Inayochipuka: Mbinu Muhimu za Teknolojia Zinazofafanua AI ya Kuzalisha", Septemba 2023

Kutumia GenAI kwa usalama

Majaribio ya AI hujumuisha wigo kutoka kwa kutumia zana na huduma za AI zilizojengwa awali hadi kuunda masuluhisho maalum ya AI kutoka mwanzo. Ingawa mashirika mengine yanaweza kuendeleza kuunda miundo na matumizi yao ya AI, mengi yatashikamana na kutumia zana za AI za wahusika wengine.
Katika matukio haya, zana za AI za wahusika wengine huunda hatari mpya kwa sababu mashirika yana udhibiti mdogo wa moja kwa moja kwenye usalama na usanidi wao wa faragha.

Wafanyikazi wana uwezekano wa kutumia zana za AI za nje ya rafu kwa kazi sasa hivi kupitia vyumba vya SaaS kama vile Microsoft 365, chatbots zilizojengwa ndani ya injini za utafutaji au programu za umma, na hata API.

Mashirika lazima yafanye bidii yao ipasavyo ili kupunguza hatari, ikijumuisha:

• Kutathmini hatari ya usalama ya zana za wahusika wengine
• Kushughulikia masuala ya faragha ya data
• Kudhibiti utegemezi (au kuegemea kupita kiasi) kwenye API za nje
• Kufuatilia udhaifu unaowezekana

Mzeeamphii itakuwa wakati wafanyakazi wanatumia umma web programu kama ChatGPT. Kila ingizo linaloingizwa kwenye kidokezo huwa kipande cha data kinachoacha udhibiti wa shirika. Watumiaji wanaweza kushiriki zaidi habari nyeti, ya siri, au iliyodhibitiwa - kama vile Taarifa Inayotambulika Binafsi (PII), data ya fedha, haki miliki na msimbo wa chanzo. Na hata kama hawatashiriki maelezo nyeti wazi, inawezekana kuunganisha muktadha kutoka kwa ingizo ili kukisia data nyeti.
Ili kulinda, wafanyikazi wanaweza kugeuza mpangilio ili kuzuia michango yao kutoa mafunzo kwa muundo zaidi, lakini lazima waifanye wenyewe. Ili kuhakikisha usalama, mashirika yanahitaji njia za kuzuia watu wasiingize data ya faragha.

Jitayarishe kwa athari za usalama za AI

Ufichuaji wa Data
Je, ni kwa kiwango gani watumiaji wanashiriki data nyeti isivyofaa na huduma za nje za AI? Je, mbinu za kutokutambulisha/kutambulisha zinatosha?

Hatari za API
Je, utashughulikia vipi udhaifu ndani ya API za wahusika wengine ambao unaweza kuwa lango linalowezekana kwa washambuliaji?

Mifumo ya Sanduku Nyeusi
Je, ni michakato gani ya kufanya maamuzi ya miundo ya nje ya AI ambayo inaweza kuleta hatari zisizotarajiwa?

Usimamizi wa Hatari ya Wauzaji
Je, unajua nini kuhusu mbinu za usalama za watoa huduma wako wa AI wa mashirika mengine? Muhimu zaidi, ni nini hujui?

Hatua za kulinda matumizi ya AI

1. Dhibiti utawala na hatari
   • Unda sera kuhusu jinsi na wakati wa kutumia AI, ikijumuisha ni taarifa gani shirika linaruhusu watumiaji kushiriki na GenAI, miongozo ya udhibiti wa ufikiaji, mahitaji ya kufuata na jinsi ya kuripoti ukiukaji.
   • Fanya tathmini ya athari ili kukusanya taarifa, kutambua, na kuhesabu faida na hatari za matumizi ya AI.
2. Ongeza mwonekano na vidhibiti vya usalama na faragha
   • Rekodi miunganisho yote, ikijumuisha kwenye programu za AI, ili kufuatilia kila mara shughuli za watumiaji, utumiaji wa zana za AI na mifumo ya ufikiaji wa data ili kugundua hitilafu.
   • Gundua ni kivuli gani cha IT kipo (pamoja na zana za AI) - na ufanye maamuzi ya kuidhinisha, kuzuia, au kuweka vidhibiti vya ziada.
   • Changanua usanidi wa programu ya SaaS ili uone hatari zinazoweza kutokea za usalama (kwa mfano, ruhusa za OAuth zinazotolewa kutoka kwa programu zilizoidhinishwa hadi programu ambazo hazijaidhinishwa zinazotumia AI, hivyo kuhatarisha kufichuliwa kwa data)
3. Chunguza data gani huingia na kutoka kwenye zana za AI na kuchuja chochote ambacho kinaweza kuhatarisha IP, kuathiri usiri, au kukiuka vizuizi vya hakimiliki.
   • Tekeleza vidhibiti vya usalama vya jinsi watumiaji wanavyoweza kuingiliana na zana za AI (km kusimamisha upakiaji, kuzuia kunakili/kubandika, na kutafuta na kuzuia maingizo ya data nyeti/umiliki)
   • Weka ulinzi mahali pa kuzuia roboti za AI zisivute yako webtovuti
   • Zuia zana za AI moja kwa moja ikiwa tu hakuna vidhibiti vingine vinavyowezekana. Kama tunavyojua, watumiaji watapata masuluhisho, ambayo yanaweka usalama nje ya udhibiti wako
4. Dhibiti ufikiaji wa programu za AI na miundombinu
   • Hakikisha kwamba kila mtumiaji na kifaa kinachofikia zana za AI kinapitia uthibitishaji madhubuti wa utambulisho ili kubaini ni nani anayetumia zana za AI.
   • Tekeleza vidhibiti vya ufikiaji vya Zero Trust kulingana na utambulisho. Tumia fursa ndogo zaidi ili kupunguza uharibifu unaoweza kutokea kutoka kwa akaunti zilizoathiriwa au vitisho kutoka kwa watu wengine
5. Kuhuisha gharama na ufanisi wa uendeshaji
   • Elewa jinsi watu wanavyotumia programu za AI kwa uchanganuzi na ukataji miti ili uwe na udhibiti wa kikomo cha viwango, kuweka akiba, pamoja na maombi ya kujaribu tena, na mfano mbadala kama mizani ya matumizi.

Linda kile unachojenga

Funza muundo wako wa AI
Mabomba ya AI yanapanua wigo wa kuathirika. Lakini kwa kupata uzoefu mwanzoni na katika mchakato mzima wa uendelezaji, tuna maarifa kuhusu kile kinachoongoza kwenye mafanikio. Kwa usalama wa AI, mahali pa asili pa kuanzia ni kwenye mfano wako.
Kama msingi wa programu za AI, kila kitu kinachotumiwa kufunza muundo wako wa AI kitapita hadi matokeo yake. Zingatia jinsi utakavyolinda data hiyo mwanzoni ili kuepuka athari mbaya baadaye. Ukiachwa bila kulindwa, unaweza kuhatarisha kupanua eneo lako la uvamizi na kuunda matatizo ya programu barabarani.
Usalama unaohakikisha uadilifu wa data ni muhimu katika kupunguza maafikiano ya kimakusudi na ya kimakosa. Hatari za usalama katika bomba la AI zinaweza kujumuisha:

• Sumu ya data: Seti za data hasidi huathiri matokeo na kuunda upendeleo
• Matumizi mabaya ya uzushi: Waigizaji wa vitisho huhalalisha maonyesho ya AI - uvumbuzi wa habari ili kutoa majibu - ili seti za data mbovu na zisizo halali zijulishe matokeo.

Vinginevyo, ikiwa sio mifano ya mafunzo, AI yako ya ndani ingeanza kwa kuchagua kielelezo cha kutekeleza majukumu. Katika hali hizi, ungetaka kuchunguza jinsi watayarishi walivyotengeneza na kulinda kielelezo kwani kinachukua jukumu katika uelekezaji.

Hitimisho ni mchakato unaofuata mafunzo ya AI. Kadiri kielelezo kinavyokuwa na mafunzo bora, na kadiri kinavyosawazishwa zaidi, ndivyo makisio bora yatakavyokuwa - ingawa hayana hakikisho kamwe kuwa kamili. Hata mifano iliyofunzwa sana inaweza kushawishi.

Usalama baada ya kupelekwa
Mara tu unapounda na kupeleka AI yako ya ndani, utahitaji kulinda data yake ya kibinafsi na ufikiaji salama kwake. Pamoja na mapendekezo ambayo tayari tumetoa katika karatasi hii, ikiwa ni pamoja na kutekeleza tokeni kwa kila mtumiaji na kuweka kikomo cha viwango, unapaswa kuzingatia:

• Kudhibiti nafasi: Hutumia vikomo kulinda dhidi ya funguo za API za watumiaji dhidi ya kuathiriwa na kushirikiwa
• Kuzuia nambari fulani za mfumo wa uhuru (ASNs): Huzuia washambuliaji kutuma idadi kubwa ya trafiki kwa programu.
• Kuwasha vyumba vya kungojea au watumiaji wenye changamoto: Hufanya maombi kuwa magumu zaidi au yanayochukua muda mwingi, na kuharibu uchumi wa wavamizi.
• Kuunda na kuhalalisha schema ya API: Inabainisha matumizi yaliyokusudiwa ni kwa kutambua na kuorodhesha ncha zote za API, kisha kuorodhesha vigezo vyote mahususi na mipaka ya aina.
• Kuchanganua kina na utata wa hoja: Husaidia kujilinda dhidi ya mashambulizi ya moja kwa moja ya DoS na hitilafu za wasanidi programu, kuweka asili yako kuwa nzuri na kuwasilisha maombi kwa watumiaji wako kama inavyotarajiwa.
• Kuunda nidhamu karibu na ufikiaji kulingana na tokeni: Hulinda dhidi ya ufikiaji ulioathiriwa wakati tokeni zinathibitishwa kwenye safu ya vifaa vya kati au Lango la API.

Ulinzi thabiti wa tishio katika majaribio yako ya GenAI
Kuanzia kupitishwa hadi utekelezaji, kila kifungutage ya wigo wa majaribio ya GenAI inapaswa kuendelea na hatari ndogo au kuvumiliwa. Kwa ujuzi uliopatikana kutoka kwa karatasi hii, iwe shirika lako linatumia, linajenga, au linapanga AI kwa namna fulani katika siku zijazo, una uwezo wa kudhibiti mazingira yako ya kidijitali.
Ingawa ni kawaida kuhisi kusita wakati wa kutumia uwezo mpya, rasilimali zipo ili kukupa ujasiri wa kufanya majaribio ya AI kwa usalama. Kati ya rasilimali hizo, kile ambacho mashirika yanahitaji zaidi leo ni kiunganishi kwa kila kitu cha IT na usalama. Moja ambayo hufanya kama uzi wa kawaida ambao hupunguza utata kwa kufanya kazi na kila kitu katika mazingira, inapatikana kila mahali, na hufanya kazi muhimu za usalama, mitandao, na maendeleo.

Ukiwa na kiunganishi, utakuwa na imani katika hali mbalimbali za utumiaji, zikiwemo:

• Kuzingatia kanuni na uwezo wa kugundua na kudhibiti harakati za data iliyodhibitiwa
• Kurejesha mwonekano na udhibiti wa data nyeti kwenye programu za SaaS, kivuli cha IT, na zana zinazoibuka za AI.
• Kulinda msimbo wa msanidi programu kwa kugundua na kuzuia msimbo wa chanzo katika vipakiwa na vipakuliwa. Pia, kuzuia, kutafuta na kurekebisha usanidi mbovu katika programu za SaaS na huduma za wingu, ikijumuisha hazina za misimbo.

Kadiri AI inavyoendelea kubadilika, kutokuwa na uhakika ni hakika. Ndio maana kuwa na nguvu thabiti kama Cloudflare ni faida sana.

Linda dhidi ya hatari za AI katika aina tatu za LLM
Kulingana na matumizi, kiwango cha mfiduo wa hatari ambacho AI hutengeneza kwa shirika kitatofautiana. Ni muhimu kuelewa hatari mbalimbali zinazohusishwa na utumiaji na uundaji wa Miundo Kubwa ya Lugha (LLM), kisha uhusishwe kikamilifu katika utumaji wowote wa LLM.

Aina ya Hatari ya Ufunguo wa LLM

• Ufikiaji wa Ndani wa data nyeti na haki miliki
• Hatari ya sifa ya bidhaa
• Uvujaji wa data Nyeti kwa Umma

Kiwango, urahisi wa kutumia, na ujumuishaji usio na mshono
Wingu la muunganisho la Cloudflare huweka udhibiti mikononi mwako na huboresha mwonekano na usalama - hufanya majaribio ya AI kuwa salama na hatari. Bora zaidi, huduma zetu huimarisha kila kitu, na kuhakikisha kuwa hakuna biashara
kati ya uzoefu wa mtumiaji na usalama.
Ikizingatiwa kuwa mashirika mengi yatatumia AI pekee au yatatumia na kujenga, kutumia Cloudflare kunamaanisha kutokwama kwenye miradi ya AI.

• Mtandao wetu wa kimataifa hukuwezesha kuongeza na kutekeleza vidhibiti kwa kasi popote unapovihitaji
• Urahisi wetu wa kutumia hurahisisha kusambaza na kudhibiti sera za jinsi watumiaji wako wanavyotumia AI
• Usanifu mmoja unaoweza kuratibiwa hukuwezesha kuweka usalama kwenye programu unazounda, bila kutatiza jinsi watumiaji wako wanavyotumia AI.

Wingu la muunganisho la Cloudflare hulinda kila kipengele cha majaribio yako ya AI, haswa:

• Huduma zetu za Zero Trust & Secure Access Service Edge (SASE) husaidia kupunguza hatari katika jinsi wafanyakazi wako wanavyotumia zana za AI za wahusika wengine.
• Jukwaa letu la wasanidi husaidia shirika lako kuunda zana na miundo yako ya AI kwa usalama na kwa ufanisi
• Ili kupata usalama kwa kutumia AI, jukwaa letu linatumia mbinu za AI na mashine za kujifunza ili kujenga akili tishio ambayo inatumiwa kulinda mashirika katika majaribio yao ya AI.

Hatua zinazofuata
Kutoka kulinda jinsi shirika lako linavyotumia AI hadi kutetea programu za AI unazounda, Cloudflare kwa AI imekushughulikia. Ukiwa na huduma zetu, unaweza kutumia uwezo mpya kwa mpangilio wowote kwa ushirikiano usio na kikomo na miunganisho inayonyumbulika.

Kwa habari zaidi, tembelea Cloudflare.com

Hati hii ni kwa madhumuni ya habari pekee na ni mali ya Cloudflare. Hati hii haileti ahadi au hakikisho zozote kutoka kwa Cloudflare au washirika wake kwako. Una jukumu la kufanya tathmini yako huru ya habari katika waraka huu. Taarifa katika hati hii inaweza kubadilika na haimaanishi kuwa yote au kuwa na taarifa zote ambazo unaweza kuhitaji. Majukumu na madeni ya Cloudflare kwa wateja wake yanadhibitiwa na makubaliano tofauti, na hati hii si sehemu ya, wala haibadilishi, makubaliano yoyote kati ya Cloudflare na wateja wake. Huduma za Cloudflare hutolewa "kama zilivyo" bila dhamana, uwakilishi, au masharti ya aina yoyote, iwe wazi au ya kudokezwa.
© 2024 Cloudflare, Inc. Haki zote zimehifadhiwa. CLOUDFLARE® na nembo ya Cloudflare ni alama za biashara za Cloudflare. Majina mengine yote ya kampuni na bidhaa na nembo zinaweza kuwa alama za biashara za kampuni husika ambazo zinahusishwa nazo.

Cloudflare | Kuhakikisha mazoea salama ya AI1 888 99 FLARE | enterprise@cloudflare.com | Cloudflare.com
REV:BDES-6307.2024AUG1129

Maswali Yanayoulizwa Mara Kwa Mara

• Swali: Kwa nini kupata majaribio ya GenAI ni muhimu?
  Jibu: Kulinda majaribio ya GenAI ni muhimu ili kuzuia ukiukaji wa data, matumizi mabaya ya watumiaji na tabia mbovu zinazoweza kuathiri taarifa nyeti na kutatiza shughuli za shirika.
• Swali: Mashirika yanawezaje kuimarisha usalama wa AI?
  J: Mashirika yanaweza kuimarisha usalama wa AI kwa kuelewa hatari, kwa kutumia zana zinazotambulika za AI, kujenga masuluhisho maalum kwa kuzingatia usalama, na kutekeleza hatua dhabiti za usalama ili kulinda programu za AI.

Nyaraka / Rasilimali

Mwako wa wingu Kuhakikisha Mazoezi ya AI Salama [pdf] Mwongozo wa Mtumiaji Kuhakikisha Mazoezi ya AI Salama, Kuhakikisha, Mazoea Salama ya AI, Mazoezi

Marejeleo

• Mwongozo wa Mtumiaji