建構生成式AI創新安全體系，亞馬遜首席安全官教你三招

亞馬遜雲端科技在全球擁有數百萬客戶，每天追蹤的事件達數十億條，這讓亞馬遜雲端科技能偵測到更多的安全威脅。

2019年亞馬遜雲端科技首席安全長Steve Schmidt正式宣布推出首個聚焦雲端安全議題的會議亞馬遜雲端科技re:Inforce，現在大會已經舉辦五屆，成為雲端安全的風向標。

2010年，Steve Schmidt加入亞馬遜，並在亞馬遜雲端科技擔任首席資訊安全長達12年，從2022年起擔任亞馬遜首席安全長至今。最近，他接受了《華爾街日報》關於生成AI時代下的企業安全的訪談。

Steve Schmidt說，安全團隊的工作是幫助企業了解產生AI等創新技術的好處和風險，並如何利用它來提升企業的安全效率。

亞馬遜雲端科技首席安全長Steve Schmidt

#生成式AI安全，企業要問三個問題

Steve Schmidt認為，任何企業在談到及使用生成功能AI的安全問題時，都必須問自己三個問題：AI是否會被濫用、被入侵或被竄改。

第一，資料在哪裡？

企業需要了解用資料訓練模型的整個工作流程，這些資料來自哪裡，以及如何被處理和保護。

第二，我的查詢和任何相關資料會發生什麼？

訓練資料並不是企業需要關注的唯一敏感資料集，當企業及其使用者開始使用生成式AI和大型語言模型時,他們很快就會掌握如何讓查詢更有效。之後會在查詢中加入更多細節和具體要求，從而獲得更好的結果。企業使用生成式AI進行查詢需要清楚知道生成式AI會如何處理輸入進模型的資料以及查詢結果。企業查詢本身也是敏感的，應該成為資料保護計畫的一部分。

第三，生成式AI模型的輸出是否夠準確？

從安全性角度來看，生成式AI的使用場景定義了風險，不同的場景對準確度的要求是不同的。如果你正在使用大型語言模型來產生定製程式碼，那麼你必須要確認這個程式碼是否寫得足夠好，是否遵循了你的最佳實踐等等。

在了解了使用生成式AI的安全性問題之後，Steve Smith也給出了利用生成式AI進行創新的三個安全性建議：

第一，安全團隊說「不」容易，但不是正確的做法。 培訓內部員工了解公司關於使用人工智慧的政策來幫助安全地使用。指導員工使用符合公司人工智慧使用政策的方式。對於安全團隊來說，說「不」很容易，但對於所有業務團隊、開發人員等來說，繞過安全團隊也同樣容易。

第二，可見性。 企業需要透過可見性的工具來了解員工如何使用數據，限制在工作需求之外的數據訪問，並且會監控他們如何使用外部服務存取這些數據。如果發現有不符合政策的情況發生，例如在涉及非工作需求之外的敏感資料訪問，會停止這種行為。在其他情況下，如果員工使用的資料不太敏感，但是可能會違反政策，會主動聯繫員工去了解真實目的並尋求解決之道。

第三，透過機制解決問題。 機制是可重複使用的工具，允許企業隨著時間的流失精確地驅動特定的行為。例如，當員工違規操作時，系統會透過如彈窗來提示員工，並建議使用特定的內部工具，並就相關問題進行報告。

為安全服務提供生成式AI能力

安全一直是亞馬遜雲端科技的最高優先級，Steve Schmidt也是亞馬遜安全文化的實踐者和倡導者之一。

「安全團隊要利用開箱即用的生成式AI應用，從程式碼階段推動安全產業升級，對任何企業包括亞馬遜都是如此。」這是Steve Schmidt對生成式AI的建議。

因為利用生成式AI提升安全程式碼的編寫工作能夠有效地推動整個產業進入更高層級的安全領域。

Amazon CodeWhisperer程式碼助手以及新型生成式AI助手Amazon Q，都可以幫助企業產生更好的程式碼或在軟體工程師編寫程式碼時直接提供建議。

Amazon CodeWhisperer是具有內建安全掃描功能的AI編碼助手，能夠幫助開發者基於註解產生程式碼，追蹤開源參考，掃描尋找漏洞，同時對個人開發者免費。它還提供客製化功能，讓企業安全地將CodeWhisperer連接到企業內部程式碼存儲，以提升CodeWhisperer的效果，並加快開發任務的完成速度。

Amazon Q可以在Amazon CodeWhisperer中回答開發人員的各種程式碼相關的問題並附上可一鍵實施的程式碼，並提供程式碼轉換功能，以幫助開發者大幅減少應用程式維護和升級所需的繁瑣工作，將所需的時間從幾天縮短至幾分鐘。

同時，亞馬遜雲端科技2023 re:Invent全球大會上，亞馬遜雲端科技也推出了具有生成式AI能力的安全服務能力。

Amazon Inspector的Amazon Lambda函數程式碼掃描功能現在能夠利用生成式AI和自動推理實現程式碼修復。先前的掃描功能能夠突出顯示問題代碼的位置、潛在影響並提供建議，現在生成式AI同能夠為多種類別的漏洞創建與情境相關的代碼補丁。開發者可以快速進行驗證和程式碼替換等操作，從而快速有效地解決問題。

Amazon Detective現在能夠使用生成式AI提供調查發現群組摘要，生成式AI可以自動分析調查發現群組並以自然語言提供洞察，加快進行安全調查。 Amazon Detective服務的目的是讓使用者更輕鬆地分析、調查和快速確定潛在安全問題或可疑活動的根本原因。新的生成式AI能力能夠為特定使用者提供更廣泛的安全視野和更多的安全知識。

最近，亞馬遜雲端科技與英偉達最新聯合發布中也談到，GB200將受益於Amazon Nitro系統增強的安全性，在客戶端和雲端全程保護客戶的程式碼和資料在處理過程中的安全。

Steve Schmidt說，問題不在於安全團隊本身想要做什麼，而在於確保我們始終幫助我們的客戶團隊、內部團隊，朝著他們的目標向前邁進。

#

以上是建構生成式AI創新安全體系，亞馬遜首席安全官教你三招的詳細內容。更多資訊請關注PHP中文網其他相關文章！