首席信息安全官的 AI 指南：在降低风险的同时拥抱创新

在过去的 20+ 年中，CISO 的角色发生了变化。而且，信不信由你，这并不是因为最新的美国证券交易委员会规定。这个角色一直是在进步与保护之间取得平衡，即使我们在历史上并不擅长。

首席信息安全官总是被要求事半功倍;在保持预算范围内推进业务目标。至少可以说，在这种环境中管理风险是很困难的。然而，地平线上可能有一个不太可能的来源的希望。事实上，它以一种形式出现，一些首席信息安全官认为这是他们职业生涯中遇到的最危险的形式之一。

当然，我说的是人工智能。我们已经进入了人工智能时代。从现在开始，创新和风险缓解之间的微妙关系将更加复杂。虽然人工智能有望提供突破性的解决方案和提高效率，但其新生性质引发了安全、伦理和道德方面的担忧。

然而，恐惧不能阻止我们采取适当的行动。完全阻止人工智能会阻碍创新，并使公司在抵御对手和业务竞争方面处于竞争劣势。关键在于积极主动、知情的领导。作为首席信息安全官，了解人工智能及其风险对于有效管理其实施并获得其收益至关重要，而不会使组织面临风险。

人工智能只是我们必须适应的又一项技术进步。首席信息安全官在自带设备 （BYOD） 和云采用方面也有同样的不确定性，这两者现在都很常见。人工智能很可能会变得无处不在，这意味着首席信息安全官必须知道如何管理、指导和领导人工智能的采用。

驾驭环境：首席信息安全官的关键考虑因素

1. 揭开人工智能的神秘面纱

不要在对新事物或未知事物的恐惧、不确定或怀疑 （FUD） 中工作。当涉及到像人工智能这样的新技术进步时，我们需要停下来，学习和吸收。我们必须掌握基础知识。人工智能包括机器学习、自然语言处理和计算机视觉等各种技术。每个都有自己的风险。熟悉贵公司正在探索的特定 AI 应用程序及其潜在的安全隐患。

2. 了解常见风险

在识别风险时，从行业最佳实践开始。对于 AI，OWASP AI/ML Top 10 是一个很好的起点。该框架确定了与人工智能系统相关的十大最关键风险。它是了解攻击面和确定缓解策略优先级的宝贵资源。主要关注领域包括：

• 数据中毒：恶意行为者注入纵的数据以影响 AI 的输出
• 模型反转：从 AI 模型本身中提取敏感信息
• 侵犯隐私：无意或故意滥用用于训练 AI 的个人数据

值得庆幸的是，您不是从头开始的。就像启动安全计划一样，您可以围绕一个框架进行构建，该框架充当我们正在构建的内容的蓝图。它提供了一些可以向高管人员展示（或“销售”）的东西，并有助于衡量在此过程中的进展。

我们还可以看看人工智能已经存在哪些法规和指导。毕竟，人工智能并不新鲜。OpenAI（以 ChatGPT 闻名）成立于 2015 年 12 月。

3. 了解人工智能法规

围绕人工智能的监管环境正在迅速发展。随时了解您所在地区的相关法规，例如《欧盟人工智能法案》和美国关于人工智能的行政命令。这些法规对使用人工智能时的数据收集、透明度和问责制提出了具体要求。

美国国家标准与技术研究院 （NIST） 等组织为开发和部署可信赖的 AI 提供了宝贵的指导。熟悉 NIST AI 风险管理框架 （RMF），并考虑在组织内实施其建议。

安全不应该是事后才想到的。将 AI 风险管理集成到您的整体安全策略中。通过对员工进行潜在 AI 风险及其在缓解这些风险中的作用的教育，在组织内培养安全意识文化。

降低 AI 风险：主动策略

虽然通用人工智能（AGI）——能够理解和学习任何智力任务的人工智能——可能看起来很遥远，但做好准备很重要。这里有一些关于如何应对人工智能和最终AGI风险的建议。

首席信息安全官应坚持：

1. 透明度和可解释性 — 要求 AI 开发人员和供应商保持透明。了解 AI 的工作原理及其决策背后的基本原理。这有助于识别潜在的偏见和漏洞。

2. 人类监督和控制——人工智能系统不应该自主运行。实施强有力的人工监督机制，在必要时进行监测和干预。我还看到这被称为 HITL，或循环中的人类，这对 AI 来说并不新鲜或独特。

而且，无论如何，我们必须审查来自系统的任何内容。这是一句古老的格言：“信任但要验证”。在传递数据之前，请像实习生组装数据一样检查生成的任何数据，并检查其准确性和完整性。在这里，您将识别诸如偏见（可以从提示中推断出来）以及 AI“幻觉”之类的东西，即在响应用户提示时会编造一些东西。

3. 持续威胁监控 — 保持警惕。定期评估 AI 系统中的漏洞，并随着威胁形势的变化调整安全措施。随着开发人员的不断测试，请保持参与、开放、平易近人和可指导性。

4. 协作和沟通 — 如前所述，与开发人员、法律团队和商业领袖等利益相关者进行公开对话。分享您的担忧，并共同制定全面的风险管理策略。与其他组织建立伙伴关系。了解他们正在用 AI 做什么。他们如何采用它以及他们正在设置哪些护栏。我们没有人是孤独的。我们有一个社区。使用它。这也意味着愿意分享你正在做的事情。社区和关系必须是双向的，才是真实的。找到您可以信任（内部和外部）并分享的人。

5. 投资安全研究 — 支持对 AI 的强大安全解决方案的研究。为行业倡议做出贡献，并与学术机构合作，以加速制定有效的保障措施。

请记住，这不是人工智能与安全。这是具有安全性的 AI。想象一下，如果人工智能安全分析师有能力打击人工智能网络犯罪分子，我们将做好多大的准备。

通过采取积极主动、明智的方法，首席信息安全官可以在激动人心的人工智能世界中航行，同时仍能有效地管理其风险。将人工智能视为一种强大的工具，但要记住你有责任确保其安全和合乎道德的实施。通过知识建设、协作和对持续改进的承诺，首席信息安全官可以（也应该）引领人工智能在不影响安全性的情况下推动进步的未来。

椰有料原创，作者：小椰子啊，转载请注明出处：http://www.studioyz.com/5661.html