什么是人工智能安全态势管理(AI-SPM)?

人工智能安全态势管理(AI-SPM)是维护 人工智能(AI )和 机器学习(ML) 系统安全和完整性的全面方法。它涉及对人工智能模型、数据和基础设施的安全态势进行持续监控、评估和改进。AI-SPM 包括识别和解决与采用人工智能相关的漏洞、配置错误和潜在风险,以及确保合规性符合相关隐私和安全法规。

通过实施 AI-SPM,组织可以主动保护其人工智能系统免受威胁,最大限度地减少数据暴露,并维护其人工智能应用的可信度。

 

AI-SPM 解释

人工智能安全态势管理(AI-SPM)是网络安全领域的重要组成部分,人工智能(AI)在其中发挥着举足轻重的作用。人工智能系统包括机器学习模型、 大型语言模型 (LLM)和自动决策系统,具有独特的脆弱性和攻击面。AI-SPM 通过为技术生态系统中与人工智能组件相关的风险提供可见性、评估和缓解机制来解决这些问题。

可见性和发现

缺乏人工智能清单会导致影子人工智能模型、合规性违规以及通过人工智能驱动的应用程序进行数据外渗。AI-SPM 允许组织发现并维护其云环境中正在使用的所有人工智能模型的清单,以及与这些模型的训练、微调或落地相关的云资源、数据源和数据管道。

数据管理

以人工智能为重点的立法要求对人工智能的使用和输入到人工智能应用中的客户数据进行严格控制,这就要求 人工智能治理 比大多数组织目前实行的 治理 更加有力。AI-SPM 检查用于训练和建立人工智能模型的数据源,以识别和分类敏感数据或受监管数据(如客户的 个人身份信息 (PII)) ,这些数据可能会通过受污染模型的输出、日志或交互而暴露出来。

风险管理

AI-SPM 使组织能够识别人工智能供应链中可能导致 数据外泄 或未经授权访问人工智能模型和资源的漏洞和配置错误。该技术映射出完整的人工智能供应链--源数据、参考数据、库、应用程序接口以及为每个模型提供动力的数据管道。然后对供应链进行分析,找出不当的 加密、日志记录、身份验证或授权设置。

运行时监控和检测

AI-SPM 可持续监控用户交互、提示和对人工智能模型(如大型语言模型)的输入,以检测涉及模型的误用、提示超载、未经授权的访问尝试或异常活动。它可以扫描人工智能模型的输出和日志,以识别潜在 的敏感数据 暴露情况。

风险缓解与应对

当围绕数据或人工智能基础架构检测到高优先级安全事件或政策违规时,AI-SPM 可实现快速响应工作流。它提供了对背景和利益相关者的可见性,以便对已识别的风险或配置错误进行补救。

治理与合规性

随着有关人工智能使用和客户数据的法规(如 GDPR 和 NIST 的 人工智能风险管理框架)日益增多,AI-SPM 可帮助组织执行政策、维护审计跟踪(包括模型流程、批准和风险接受标准的可追溯性),并通过映射可访问敏感数据或人工智能模型的人类和机器身份来实现合规性。

 

为什么 AI-SPM 很重要?

在企业和关键基础设施中部署人工智能系统带来了攻击面的扩大,而传统的安全措施并不具备防护能力。除了人工智能驱动的应用要求组织存储和保留更多数据(同时实施新的数据管道和基础设施)外,人工智能攻击载体还针对人工智能算法的独特特征,包括一类与众不同的威胁。

其中一个攻击载体是数据中毒,即恶意行为者向训练数据中注入精心制作的样本,导致人工智能模型学习到有偏见或恶意的模式。另一方面,对抗性攻击涉及对输入数据的微妙干扰,会误导人工智能系统做出错误的预测或决策,可能造成严重性后果。

模型提取--攻击者试图通过未经授权的访问或探测模型的输出以重建其内部参数来窃取组织的专有模型--也令人担忧。这种攻击可能导致知识产权被盗,被盗模型也可能被恶意滥用。

AI-SPM 是采用人工智能的安全对策。通过为组织提供预测和应对人工智能特定漏洞和攻击的工具,AI-SPM 支持积极主动的安全态势,使组织有能力管理人工智能管道中的风险。从最初的设计阶段到部署和操作使用,AI-SPM 可确保 人工智能安全 成为 人工智能开发生命周期中不可或缺的一部分。

 

AI-SPM 与 CSPM 有何不同?

云安全态势管理(CSPM) 和 AI-SPM 相辅相成,但分别侧重于管理不同领域--云基础设施和 AI/ML 系统--的安全态势。

CSPM 的核心是评估和降低 AWS、Azure 和 GCP 等公共云环境中的风险。其主要目标是确保云资源按照安全最佳实践进行正确配置,检测造成漏洞的错误配置,并强制执行合规性监管政策。

CSPM 的核心能力包括

  • 持续发现和盘点所有云资产(计算、存储、网络等)
  • 根据基准评估安全组规则、IAM 政策和加密设置
  • 监控引入新风险的配置更改
  • 自动修复不安全配置

相比之下,人工智能安全态势管理侧重于人工智能和 ML 系统在其整个生命周期--数据、模型训练、部署和运营--中的独特安全考虑因素。AI-SPM 集成了针对训练数据、模型和笔记本等人工智能资产的专门安全控制。它维护一个知识库,将人工智能威胁与适用的应对措施进行映射。

为了降低数据风险,AI-SPM 结合了数据中毒和污染的检测和防范,即识别并消除对训练数据的有害更改。它还利用差异化隐私技术,让组织在不暴露敏感信息的情况下安全地共享数据。

在确保模型供应链安全方面,AI-SPM 依靠严格的版本控制和出处跟踪来管理模型迭代和历史。此外,还有保护模型机密性的加密和 访问控制 ,以及旨在挫败模型提取和成员推理攻击的专门测试。

保护实时人工智能和 ML 系统包括监控对抗性输入扰动,即通过扭曲输入欺骗人工智能模型的行为。运行时模型加固被用来增强人工智能系统抵御这些攻击的能力。

AI-SPM 结合了针对人工智能资产(如训练数据、模型、笔记本)的专门安全控制,以及针对对抗性攻击、模型窃取等风险的人工智能特定威胁模型。它维护一个知识库,将人工智能威胁与适用的应对措施进行映射。

CSPM 侧重于云基础设施的安全态势,而 AI-SPM 则管理可能部署在云或本地部署的 AI/ML 系统的安全态势。随着人工智能在云堆栈中的嵌入,这两个学科需要同步进行全面 风险管理

例如,CSPM 可确保托管人工智能工作负载的云资源具有正确的配置,而 AI-SPM 则可验证部署的模型和数据管道是否具有足够的安全加固。它们共同提供全堆栈人工智能安全态势可视性和风险缓解。

 

AI-SPM 与 DSPMDSPM

数据安全与隐私管理(DSPM) 和人工智能-SPM 是更广泛的安全与隐私管理领域中截然不同但又相辅相成的两个领域。DSPM 侧重于保护静态、传输和处理过程中的数据,确保数据的保密性、完整性和可用性。DSPM 的主要方面包括加密、访问控制、 数据分类和。

人工智能安全态势管理涉及确保人工智能模型、算法和系统的安全。它解决了人工智能技术带来的独特挑战,如对抗性攻击、数据中毒、模型窃取和偏见。AI-SPM 包括安全模型训练、保护隐私的人工智能技术、防御攻击和可解释性。

虽然 DSPM 和 AI-SPM 涉及安全和 数据隐私的不同方面,但它们共同发挥作用,创建了全面综合的安全策略。DSPM 为数据保护奠定了基础,而 AI-SPM 则确保安全、负责任地使用处理和分析数据的人工智能技术。整合这两个领域可使组织同时保护其数据资产和人工智能系统,最大限度地降低风险,确保 数据合规性符合 相关法规。

 

MLSecOps 中的 AI-SPM

人工智能安全态势管理是机器学习安全运营(MLSecOps)的基石,是用于确保人工智能生命周期安全的实践和工具。MLSecOps 包括从确保用于训练模型的数据安全到监控已部署模型的漏洞等各个方面,目标是在整个开发和运行过程中确保 ML 系统的完整性、可靠性和公平性。

在 MLSecOps 中,AI-SPM 重点关注人工智能系统的特定安全需求,与传统的 ML 相比,人工智能系统往往涉及更复杂的模型和功能。这种复杂性带来了 AI-SPM 所要应对的独特安全挑战-- 数据安全、模型安全、模型监管和合规性。AI-SPM 在 MLSecOps 中的优势是毋庸置疑的:

  • 强化安全态势:通过主动应对人工智能特定的安全风险,AI-SPM 加强了组织的 ML 管道和部署模型的整体安全态势。
  • 提高对人工智能的信任:人工智能安全增强了人们对人工智能系统的信任,使其更加可靠,也更容易集成到业务流程中。
  • 更快、更安全的创新:AI-SPM 为人工智能开发提供了一个安全的环境,使组织能够满怀信心地利用人工智能技术进行创新。

 

AI-SPM 常见问题

基础和训练是开发人工智能模型的两个不同方面,但它们都有助于提高这些系统的功能和效率。

基础包括将人工智能的操作(如语言理解或决策过程)与现实世界的环境和数据联系起来。这就是要确保人工智能模型的输出结果在实际环境中是适用和有意义的。例如,语言模型的基础包括教会它将词语与相应的现实世界物体、行为或概念联系起来。在图像识别等任务中,模型必须将图像中的像素与有形对应的可识别标签联系起来。

训练指的是通过向人工智能模型输入数据,教它做出预测或决策的过程。在训练过程中,模型学会识别模式、建立联系,并逐渐提高其准确性。这种情况会随着各种算法对模型内部参数的调整而发生,通常是通过将模型暴露在已知输入和所需输出(标签)的大型数据集上。这一过程增强了模型从训练数据泛化到未见过的新情况的能力。

接地和培训的主要区别在于它们的重点和应用:

  • 接地 就是要确保与现实世界的相关性和实用性,在抽象的人工智能计算和具体的现实应用之间架起一座桥梁。
  • 培训 涉及优化模型性能的技术方法,主要侧重于规定任务内的准确性和效率。

模型污染指的是在敏感数据上对人工智能模型进行非预期训练,一旦部署并用于推理或生成任务,可能会通过其输出、日志或交互来暴露或 泄漏 敏感数据 。AI-SPM 的目标是检测和预防污染。

CSPM 和 AI-SPM 是一致但不同的风险管理领域--前者侧重于云基础设施态势,后者侧重于通过数据、模型和运行时保护来确保 AI 系统生命周期的安全。随着人工智能应用的增长,以协调的方式实施 CSPM 和 AI-SPM 对全面的人工智能安全治理至关重要。

可见性和控制是人工智能安全态势管理的重要组成部分。为了有效管理人工智能和 ML 系统的安全态势,组织需要清楚地了解其人工智能模型、这些模型中使用的数据以及相关的基础设施。这包括对人工智能供应链、数据管道和云环境的可视性。

有了可见性,组织就能识别潜在风险、配置错误和合规性问题。通过控制,组织可以采取纠正措施,如实施安全策略、修补漏洞和管理 AI Security 资源的访问。

人工智能物料清单(AIBOM)是一份主清单,其中记录了用于构建和运行人工智能系统或模型的所有组件和数据源。AIBOM 提供了管理人工智能生命周期所急需的端到端透明度,使以下方面变得清晰可见:

  • 用于建立人工智能模型的训练数据
  • 利用的任何预训练模型或库
  • 用于基础或知识检索的外部数据源
  • 使用的算法、框架和基础设施
  • 与模型集成的应用程序接口和数据管道
  • 可访问模型的人/服务的身份信息

把 AIBOM 想象成 软件物料清单(SBOM) ,但重点是映射构成人工智能系统的数据和操作两方面的构件。

在人工智能安全方面,可解释性是指理解和解释人工智能/ML 模型的推理、决策过程和行为的能力,尤其是在识别潜在安全风险或漏洞时。可解释性的主要方面包括

  • 能够解释人工智能模型如何根据输入数据得出输出结果或决策。这有助于分析模型是否按预期运行,或是否存在任何可能表明安全问题的异常。
  • 了解人工智能模型的内部运作、参数和逻辑,而不是把它当作一个黑盒子。这种透明度有助于对模型进行审计,以发现潜在的漏洞或偏差。
  • 能够追踪开发和运行人工智能模型所涉及的数据源、算法和流程。这就赋予了整个人工智能供应链的可解释性。
  • 验证和解释人工智能模型在不同条件、边缘情况或对抗性输入下的行为的技术,以发现安全漏洞。
  • 人工智能法规越来越多地要求可解释性,将其作为问责措施的一部分,以了解模型的行为是否合乎道德、公平、无偏见。

可解释性是监控 AI 模型的异常、漂移和运行时破坏,调查 AI 相关事件的根本原因,以及在部署前根据安全策略验证 AI 模型所不可或缺的。

笔记本指的是交互式编码环境,如 Jupyter 笔记本或 Google Colab 笔记本。它们允许数据科学家和 ML 工程师在单一文档中编写和执行用于数据探索、模型训练、测试和实验的代码,该文档结合了实时代码、可视化、叙述性文本和丰富的输出。笔记本通过其包含的代码定义了数据管道、预处理步骤、模型架构、超参数等,促进了迭代和协作式模型开发过程。

从人工智能安全的角度来看,笔记本电脑是需要治理的重要资产,因为它是人工智能的重要组成部分:

  1. 它们通常包含或访问敏感的训练数据集。
  2. 模型代码和参数属于保密知识产权。
  3. 笔记本可针对敌对样本或攻击测试模型。
  4. 共享笔记本有可能泄露私人数据或模型细节。

人工智能供应链指的是开发、部署和维护人工智能模型的端到端流程--包括数据收集、模型训练和集成到应用程序中。除了涉及的各个阶段,人工智能供应链还包括数据源、数据管道、模型库、应用程序接口和云基础设施。

管理人工智能供应链对于确保人工智能模型的安全性和完整性以及保护敏感数据不被暴露或滥用至关重要。

人工智能攻击载体是指威胁参与者利用人工智能和 ML 系统漏洞破坏其安全性或功能的各种方式。一些常见的人工智能攻击载体包括

  • 数据中毒:操纵训练数据,在人工智能模型中引入偏差或错误,使其产生错误或恶意输出。
  • 模型反转:利用人工智能模型的输出来推断训练数据的敏感信息,或对模型进行逆向工程。
  • 对抗性实例:巧妙地改变输入数据,使人工智能模型产生错误或有害的输出,而在人类可观测性看来却是正常的。
  • 模型失窃:窃取人工智能模型或其参数,以创建副本供未经授权的使用或识别潜在漏洞。
  • 基础设施攻击:利用支持人工智能系统的云环境或数据管道中的漏洞,获取未经授权的访问、破坏操作或外流数据。
由于人工智能系统的复杂性、采用速度之快以及涉及的数据量之大,人工智能和机器学习可能会造成安全盲区。随着各组织在不同的云环境中部署人工智能和 ML 模型,传统的安全工具和方法可能无法充分应对与这些模型相关的独特风险。例如,数据中毒攻击或对抗性示例会利用人工智能模型的行为,导致输出受损。此外,人工智能系统的动态性和相互关联性会给数据的跟踪和安全带来困难,导致潜在的数据暴露和合规性问题。
模型破坏是指改变或篡改人工智能模型的参数、训练数据或功能的过程,这可能导致性能受损或恶意输出。攻击者可能会通过数据中毒、对抗性示例或其他操纵模型行为的技术来破坏模型。而人工智能模型滥用则是指威胁参与者或未经授权的用户出于恶意目的利用人工智能模型,如生成深度伪造、实现自动攻击或规避安全措施。模型损坏和滥用都会破坏人工智能系统的完整性、安全性和可信度。
人工智能的采用给 IT 环境带来了新的复杂性,因为组织必须部署和管理多样化的人工智能模型、数据管道和云资源。这种复杂性的增加会使保持对整个人工智能环境的统一可视性面临挑战,从而导致潜在的安全盲区和风险增加。传统的安全工具可能无法很好地解决与人工智能系统相关的特定风险和挑战,使组织容易受到人工智能特定攻击载体的攻击。因此,组织需要采用专为人工智能和 ML 系统设计的先进安全解决方案,以确保全面的可见性和控制。
当组织开发和部署大量人工智能模型,却不清楚这些模型的库存、使用情况和相关风险时,就会出现模型蔓延的情况。随着人工智能应用的增长,组织可能会尝试各种模式,导致人工智能系统在不同云环境中激增。这可能导致影子人工智能模型,即缺乏适当文档、治理和安全控制的模型。模型蔓延会导致合规性违规、数据外泄和攻击面增加。为了解决模型蔓延问题,组织需要维护一个全面的人工智能库存,其中包括跟踪和管理所有人工智能模型、其相关数据和云资源,以确保适当的治理和安全。
影子人工智能模型是指缺乏适当文档、治理和安全控制的人工智能系统,通常是由于模型无序扩张和开发流程分散造成的。这些模式可能会在安全小组不知情或未批准的情况下被部署,给组织带来巨大风险。影子人工智能模型会在不遵守隐私法规或既定安全政策的情况下处理敏感数据,从而助长合规性违规行为。此外,由于缺乏对影子人工智能模型的可见性和控制,会增加数据外泄的可能性,因为攻击者可能会利用这些管理不善的系统中的漏洞来访问和窃取敏感信息。

人工智能驱动的应用为治理和隐私法规带来了新的挑战,因为它们要处理大量数据,并涉及复杂、相互关联的系统。遵守 GDPRCCPA等隐私法规,要求组织保护敏感数据,保持数据处理的透明度,并为用户提供对其信息的控制。由于人工智能模型的动态特性、意外暴露数据的可能性以及在多个系统和云环境中跟踪数据的难度,人工智能驱动的应用可能会使这些要求变得更加复杂。因此,组织必须采取强有力的数据治理措施和针对人工智能的安全措施,以确保合规性并保护用户隐私。

以人工智能为重点的立法和严格控制对于确保组织在人工智能和机器学习系统背景下以负责任和合乎道德的方式处理客户数据至关重要。这些法规旨在为人工智能系统的透明度、公平性和问责制制定标准,同时也应对与人工智能驱动的应用相关的独特风险和挑战。通过遵守以人工智能为重点的立法并实施严格控制,组织可以防止滥用客户数据,减轻人工智能模型中的潜在偏见,并维护客户和利益相关者的信任。此外,合规性还有助于组织避免高昂的罚款、声誉受损以及与隐私违规和不当数据处理相关的潜在法律后果。
确保稳健的模型开发、全面的培训和政策的一致性对于人工智能安全态势管理至关重要。安全的模型开发可最大限度地减少漏洞和风险,而全面的培训流程则有助于模型从准确、无偏见的数据中学习,从而降低意外或有害输出的可能性。政策一致性在人工智能模型、数据和基础设施中统一应用安全政策和标准,使组织能够保持强大的安全态势并有效应对威胁。这些方面共同构成了安全可靠的人工智能环境的基础。
为了保护人工智能模型和人工智能供应链中的敏感信息,组织应实施强大的数据安全实践和人工智能专用安全措施。关键策略包括识别和分类敏感数据、实施严格的访问控制、加密静态和传输中的数据、持续监控 AI 模型和数据管道,以及确保合规性符合相关隐私法规和安全策略。这些措施创造了一个安全的环境,保护敏感数据免遭未经授权的访问和滥用。
人工智能模型和数据管道可能容易出现漏洞和配置错误,如数据存储不安全、身份验证和授权机制不完善、云资源配置错误、数据传输不安全、监控和日志记录不足等。这些问题会暴露敏感数据,允许未经授权访问 AI Access Security 模型和数据管道,并阻碍安全事件或异常的检测。解决这些漏洞和配置错误对于保持强大的人工智能安全态势和保护有价值的信息至关重要。
用户与人工智能模型的交互可能会带来安全风险,因为他们可能会无意中暴露敏感信息、注入恶意输入或利用人工智能系统的漏洞。访问控制不足、身份验证薄弱或输入验证不充分,都可能导致未经授权访问或滥用人工智能模型。此外,在模型训练过程中,用户可能会无意中提供有偏见或误导性的数据,从而产生非预期或有害的输出结果。为了降低这些风险,组织必须实施强有力的安全措施,包括访问控制、输入验证和对用户交互的持续监控。
人工智能模型中的异常活动可能包括模型行为的意外变化、异常数据访问模式、未经授权的修改或外部篡改迹象。检测此类活动要求持续监控人工智能模型、数据管道和相关基础设施。实施异常检测技术,如统计分析、机器学习算法或基于规则的系统,有助于识别偏离正常行为的情况。此外,组织应为典型的模型性能和用户交互建立基线,以便于检测异常活动和潜在的安全威胁。
人工智能安全态势管理可通过实施以数据为中心的安全措施和输出验证流程相结合的方式,监控和保护模型输出中的敏感数据。以数据为中心的安全措施,如数据分类、加密和访问控制,可确保模型输出中的敏感信息得到充分保护。输出验证流程,包括输入输出关联分析、结果验证和异常检测,有助于识别和防止敏感数据或意外后果的泄露。对人工智能模型性能和用户交互的持续监控也在保护模型输出中的敏感数据方面发挥着至关重要的作用。
通过保护人工智能模型和数据的机密性、完整性和可用性,加密、日志记录、保留、认证和授权在维护人工智能安全方面发挥着至关重要的作用。加密通过保护静态和传输中的敏感数据,防止未经授权的访问和数据泄露。日志记录可跟踪人工智能模型活动和数据管道操作,便于检测和调查安全事故。保留政策管理数据存储期限,确保在不再需要时进行安全处置。身份验证可验证访问人工智能模型和数据的用户和系统的身份,而授权则可执行访问控制和权限,以防止未经授权的访问或滥用。总体而言,这些措施有助于制定强有力的人工智能安全策略。
实时检测和响应使组织能够迅速识别和处理潜在威胁、漏洞和异常,从而在预防高优先级安全事件方面发挥关键作用。通过持续监控人工智能模型、数据管道和相关基础设施,实时检测系统可以及时发现异常活动、未经授权的访问尝试或外部篡改迹象。快速反应能力,包括自动补救措施和事件响应计划,使组织能够有效缓解安全风险,最大限度地减少潜在损害,并保持人工智能系统的可信度。