Construisez un système de sécurité d'innovation génératif en IA, le responsable de la sécurité d'Amazon vous apprend trois conseils

Amazon Cloud Technology compte des millions de clients dans le monde et suit des milliards d'événements chaque jour, ce qui permet à Amazon Cloud Technology de détecter davantage de menaces de sécurité.

En 2019, Steve Schmidt, directeur de la sécurité d'Amazon Cloud Technology, a officiellement annoncé le lancement d'Amazon Cloud Technology re:Inforce, la première conférence axée sur les problèmes de sécurité du cloud. La conférence a maintenant eu lieu cinq fois et est devenue une référence en matière de cloud. sécurité.

En 2010, Steve Schmidt a rejoint Amazon et a occupé le poste de directeur de la sécurité de l'information d'Amazon Cloud Technology pendant 12 ans. Il est directeur de la sécurité d'Amazon depuis 2022. Récemment, il a été interviewé par le Wall Street Journal sur la sécurité des entreprises à l'ère de l'IA générative.

Steve Schmidt a déclaré que le travail de l'équipe de sécurité est d'aider les entreprises à comprendre les avantages et les risques des technologies innovantes telles que l'IA, et comment les utiliser pour améliorer l'efficacité de la sécurité de l'entreprise.

Steve Schmidt, directeur de la sécurité d'Amazon Cloud Technology

Sécurité de l'IA générative, les entreprises doivent se poser trois questions

Steve Schmidt estime que toute entreprise doit se poser lorsqu'elle parle et utilise les problèmes de sécurité de l'IA générative Trois questions pour moi : l’IA sera-t-elle abusée, piratée ou altérée ?

Tout d’abord, où sont les données ?

Les entreprises doivent comprendre l'ensemble du flux de travail des modèles de formation avec des données, d'où proviennent les données et comment elles sont traitées et protégées.

Deuxièmement, qu'arrive-t-il à ma requête et aux données associées ?

Les données de formation ne sont pas le seul ensemble de données sensibles auquel les entreprises doivent prêter attention. Lorsque les entreprises et leurs utilisateurs commenceront à utiliser l'IA générative et les grands modèles de langage, ils apprendront rapidement à rendre les requêtes plus efficaces. Plus de détails et d'exigences spécifiques seront ensuite ajoutés à la requête, ce qui donnera de meilleurs résultats. Les entreprises qui utilisent l'IA générative pour les requêtes doivent clairement comprendre comment l'IA générative traitera les données saisies dans le modèle et les résultats de la requête. Les requêtes d'entreprise elles-mêmes sont également sensibles et doivent faire partie d'un plan de protection des données.

Troisièmement, le résultat du modèle d'IA génératif est-il suffisamment précis ?

Du point de vue de la sécurité, les scénarios d'utilisation de l'IA générative définissent des risques, et différents scénarios ont des exigences de précision différentes. Si vous utilisez un modèle de langage volumineux pour générer du code personnalisé, vous devez alors confirmer que le code est bien écrit, suit vos meilleures pratiques, etc.

Après avoir compris les problèmes de sécurité liés à l'utilisation de l'IA générative, Steve Smith a également donné trois suggestions de sécurité pour utiliser l'IA générative pour innover :

Premièrement, il est facile pour les équipes de sécurité de dire « non », mais ce n'est pas une pratique correcte. . Former les employés internes à comprendre les politiques de l'entreprise sur l'utilisation de l'intelligence artificielle afin de les aider à l'utiliser en toute sécurité. Demandez aux employés d’utiliser des méthodes conformes à la politique d’utilisation de l’IA de l’entreprise. Il est facile pour l'équipe de sécurité de dire « non », mais il est tout aussi facile pour toutes les équipes commerciales, les développeurs, etc. de contourner l'équipe de sécurité.

Deuxièmement, la visibilité. Les entreprises ont besoin d'outils de visibilité pour comprendre comment les employés utilisent les données, limiter l'accès aux données au-delà des besoins professionnels et surveiller la manière dont ils utilisent les services externes pour accéder à ces données. Si un non-respect de la politique est constaté, tel que l'accès à des données sensibles en dehors des exigences non professionnelles, ce comportement sera mis fin. Dans d'autres cas, si les données qu'un employé utilise sont moins sensibles mais peuvent enfreindre la politique, l'employé sera contacté de manière proactive pour comprendre le véritable objectif et rechercher une solution.

Troisièmement, résoudre les problèmes grâce à des mécanismes. Les mécanismes sont des outils réutilisables qui permettent aux entreprises de piloter des comportements spécifiques avec précision au fil du temps. Par exemple, lorsqu'un employé viole la réglementation, le système l'invite via une fenêtre contextuelle, lui recommande l'utilisation d'outils internes spécifiques et signale les problèmes associés.

Fournir des capacités d'IA générative pour les services de sécurité

La sécurité a toujours été la priorité absolue de la technologie Amazon Cloud, et Steve Schmidt est également l'un des praticiens et défenseurs de la culture de sécurité d'Amazon.

"Les équipes de sécurité devraient utiliser des applications d'IA générative prêtes à l'emploi pour promouvoir la mise à niveau du secteur de la sécurité dès le stade du code. Cela est vrai pour toute entreprise, y compris Amazon." C'est la suggestion de Steve Schmidt en matière d'IA générative.

Parce que l’utilisation de l’IA générative pour améliorer l’écriture de code sécurisé peut effectivement pousser l’ensemble du secteur vers un niveau de sécurité plus élevé.

L'assistant de code Amazon CodeWhisperer et le nouvel assistant d'IA générative Amazon Q peuvent tous deux aider les entreprises à générer un meilleur code ou à fournir des suggestions directement lorsque les ingénieurs logiciels écrivent du code.

Amazon CodeWhisperer est un assistant de codage IA avec fonction d'analyse de sécurité intégrée, qui peut aider les développeurs à générer du code basé sur des commentaires, à suivre les références open source, à analyser et à trouver des vulnérabilités, et est gratuit pour les développeurs individuels. Il fournit également des fonctionnalités de personnalisation qui permettent aux entreprises de connecter en toute sécurité CodeWhisperer au stockage de code interne de l'entreprise afin d'améliorer l'efficacité de CodeWhisperer et d'accélérer l'exécution des tâches de développement.

Amazon Q peut répondre à diverses questions liées au code des développeurs dans Amazon CodeWhisperer et joindre des codes qui peuvent être implémentés en un seul clic, et fournit des fonctions de conversion de code pour aider les développeurs à réduire considérablement la pénibilité du travail de maintenance et de mise à niveau des applications, réduisant ainsi le temps. requis de quelques jours à quelques minutes.

Dans le même temps, lors de la conférence mondiale Amazon Cloud Technology 2023 re:Invent, Amazon Cloud Technology a également lancé des fonctionnalités de service de sécurité avec des capacités d'IA générative.

La fonction d'analyse du code de la fonction Amazon Lambda d'Amazon Inspector exploite désormais l'IA générative et le raisonnement automatisé pour les corrections de code. Alors que les capacités d'analyse précédentes mettaient en évidence l'emplacement du code problématique, son impact potentiel et fournissaient des recommandations, l'IA générative peut désormais également créer des correctifs de code contextuellement pertinents pour plusieurs classes de vulnérabilités. Les développeurs peuvent effectuer rapidement des opérations telles que la vérification et le remplacement de code pour résoudre les problèmes rapidement et efficacement.

Amazon Detective est désormais en mesure de fournir des résumés de groupes de découverte à l'aide de l'IA générative, qui analyse automatiquement les groupes de découverte et fournit des informations en langage naturel pour accélérer les enquêtes de sécurité. L'objectif du service Amazon Detective est de permettre aux utilisateurs d'analyser, d'enquêter et de déterminer rapidement la cause première des problèmes de sécurité potentiels ou des activités suspectes. Les nouvelles capacités d’IA générative peuvent offrir à des utilisateurs spécifiques une perspective de sécurité plus large et davantage de connaissances en matière de sécurité.

Récemment, Amazon Cloud Technology et NVIDIA ont également mentionné dans la dernière version conjointe que le GB200 bénéficiera de la sécurité renforcée du système Amazon Nitro pour protéger la sécurité du code et des données client lors du traitement sur le client et dans le cloud.

Steve Schmidt a déclaré que le problème n'est pas ce que l'équipe de sécurité elle-même veut faire, mais de s'assurer que nous aidons toujours nos équipes clients, les équipes internes, à avancer vers leurs objectifs.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!