Felhőfáklyák a biztonságos mesterséges intelligencia gyakorlatok biztosítása érdekében

Műszaki adatok

• Termék: GenAI Biztonságos MI Gyakorlatok Útmutatója
• Szerző: Dawn Parzych, termékmarketing-igazgató, Cloudflare
• Tartalom: Mesterséges intelligencia (MI) stratégia a biztonságos generatív mesterséges intelligenciával (GenAI) végzett kísérletekhez

Termékinformáció

A GenAI biztonságos mesterséges intelligencia gyakorlatokról szóló útmutatója betekintést és stratégiákat kínál azoknak a szervezeteknek, amelyek biztonságosan szeretnék bevezetni a mesterséges intelligencia technológiákat. A Dawn Parzych által írt útmutató a GenAI bevezetésével kapcsolatos egyedi biztonsági kihívásokkal foglalkozik, tippeket és bevált gyakorlatokat kínálva a mesterséges intelligencia megoldások nagymértékű használatához, kiépítéséhez és biztonságossá tételéhez.

Biztonságos mesterséges intelligencia gyakorlatok biztosítása
CISO útmutató a skálázható MI-stratégia kidolgozásához

Vezetői összefoglaló

Üdvözlünk, CISO!
A mesterséges intelligencia manapság talán a legfelkapottabb szó, és egyben az egyik legsürgetőbb kérdés a biztonsági közösség számára. Hatása figyelmet igényel, ezért írtuk a Cloudflare-nél ezt az útmutatót, hogy segítsünk átgondolni a biztonságos generatív mesterséges intelligencia (GenAI) kísérletezést a szervezetedben.
A mesterséges intelligencia eszközei gyorsan egyre erősebbek és elérhetőbbek lesznek, lehetőséget teremtve az innovációra az iparágakban. Azonban, mint más paradigmaváltások, a GenAI is egyedi biztonsági, adatvédelmi és megfelelőségi kihívásokkal jár. A GenAI széles körű elterjedése előre nem látható használati csúcsokat, felhasználói visszaéléseket, rosszindulatú viselkedést és veszélyes árnyék-IT gyakorlatokat válthat ki, mindezek növelik az adatvédelmi incidensek és a bizalmas információk kiszivárgásának kockázatát.
Ahogy a munkahelyén egyre inkább elterjed az adaptáció, fel kell készülnie egy GenAI-tervvel, amely útmutatást ad a nagy léptékű használathoz, fejlesztéshez és biztonságossá tételhez. Beszéljük meg a kockázatokat és a lehetséges megoldásokat.view Tippek, amelyeket csapata felhasználhat a GenAI biztonságossá tételéhez az érettségi szintek és a használat alapján. Ezekkel a stratégiákkal szervezete olyan GenAI stratégiát hozhat létre, amely megfelel az üzleti igényeknek, miközben védi az adatokat és biztosítja a megfelelőséget.

• Dawn Parzych, a Cloudflare termékmarketing-igazgatója

 

A GenAI kísérletezésének biztosítása

Sajnálom, hogy ezt kell mondanom, de Sarah története itt véget ér. Miközben búcsút intünk kitalált karakterünknek, a prediktív technológia és a GenAI terjeszkedésével a való életben számtalan „Sarah” lesz – akik hősként szerepelnek az IT- és fejlesztőcsapatokban, üzleti technológusként és egyéni alkalmazottként.
A mesterséges intelligencia (MI) elvarázsolta a technológusokat és a mindennapi felhasználókat egyaránt, felkeltette a kíváncsiságot és a barkácsolást. Ez a kísérletezés elengedhetetlen, miközben azon dolgozunk, hogy kiaknázzuk a mesterséges intelligencia teljes potenciálját. De óvatosság és védőkorlátok nélkül a biztonság veszélyeztetéséhez vagy a megfelelőség megszegéséhez is vezethet.

Az egyensúly elérése, valamint a mesterséges intelligencia kezdeményezések hatékonyabb megértése és kezelése érdekében a szervezeteknek három kulcsfontosságú területet kell figyelembe venniük:

1. Mesterséges intelligencia használata
   Harmadik fél által kínált mesterséges intelligencia technológiák (pl. ChatGPT, Bard és GitHub Copilot) használata az eszközök (pl. érzékeny adatok, szellemi tulajdon, forráskód stb.) védelme és a felhasználási eset alapján a potenciális kockázatok csökkentése mellett.
2. Mesterséges intelligencia építése
   Egyedi, a szervezet igényeihez igazított mesterséges intelligencia megoldások fejlesztése (pl. saját fejlesztésű algoritmusok prediktív elemzéshez, ügyfélkapcsolati másodpilóták vagy chatbotok, valamint mesterséges intelligencia által vezérelt fenyegetésészlelő rendszer)
3. A mesterséges intelligencia védelme
   MI-alkalmazások és MI-rendszerek védelme a rosszindulatú szereplőktől, akik manipulálják azokat a kiszámíthatatlan viselkedés érdekében

 

A GenAI kísérletezésének biztosítása

A GenAI átalakulása: ma és a jövőben
A GenAI fogyasztók és szervezetek iránti vonzereje példátlan terjedési pályára állította. A kiemelt felhasználók egy kis csoportja gyorsan bővült, részben az aktív nyílt forráskódú közösségnek és a fogyasztók által vezérelt, olyan alkalmazásokkal végzett kísérletezésnek köszönhetően, mint a ChatGPT és a Stable Diffusion.
A felhasználók mindezek során azt tapasztalták, hogy a robotok valójában nem fognak „lecserélni minket”.

A GenAI a finomítás és a kiegészítés képességét helyezi az emberek elé, ahelyett, hogy mindent a nulláról kellene megalkotniuk, és segíthet a vállalkozásoknak. ampnöveljék munkaerő-hatékonyságukat. A prediktív mesterséges intelligencia hasonló előnyöket kínál, mivel megkönnyíti az adatokhoz való hozzáférést a döntéshozatal javítása, intelligensebb termékek létrehozása és az ügyfélélmény személyre szabása érdekében, számos kezdeményezés mellett.

Ma a fejlesztők 59%-a használ mesterséges intelligenciát a fejlesztési munkafolyamataiban1

2026-ra a vállalatok >80%-a (a mai 5%-hoz képest) GenAI-alapú API-kat, modelleket és/vagy alkalmazásokat fog használni termelési környezetben.2

2030-ra a GenAI a tudásmunkások feladatainak 50%-át fogja kiegészíteni a termelékenység növelése vagy az átlagos munkaminőség javítása érdekében (a jelenlegi <1%-ról)3

1. SlashData, „Hogyan lépnek interakcióba a fejlesztők a mesterséges intelligencia technológiáival”, 2024. május
2. Gartner, „Egy műszaki igazgató útmutatója a generatív mesterséges intelligencia technológiai környezetéhez”, 2023. szeptember
3. Gartner, „Feltörekvő technológiák: A generatív mesterséges intelligenciát meghatározó kulcsfontosságú technológiai megközelítések”, 2023. szeptember

A GenAI biztonságos használata

A mesterséges intelligenciával (MI) való kísérletezés a spektrumot átfogja az előre elkészített MI-eszközök és -szolgáltatások használatától az egyedi MI-megoldások nulláról történő kidolgozásáig. Míg egyes szervezetek elkezdhetik saját MI-modellek és -alkalmazások létrehozását, sokan ragaszkodnak harmadik féltől származó MI-eszközök használatához.
Ezekben az esetekben a harmadik féltől származó mesterséges intelligenciaeszközök új kockázatokat teremtenek, mivel a szervezeteknek csak korlátozott közvetlen ellenőrzésük van a biztonsági és adatvédelmi konfigurációik felett.

Az alkalmazottak valószínűleg jelenleg is kész mesterséges intelligencia eszközöket használnak munkájukhoz SaaS csomagokon, például a Microsoft 365-ön, keresőmotorokba vagy nyilvános alkalmazásokba beépített chatbotokon, sőt API-kon keresztül.

A szervezeteknek kellő gondossággal kell eljárniuk a kockázatok minimalizálása érdekében, beleértve:

• Harmadik féltől származó eszközök biztonsági kockázatának értékelése
• Az adatvédelmi aggályok kezelése
• Külső API-któl való függőség (vagy túlzott függőség) kezelése
• Potenciális sebezhetőségek monitorozása

Egy voltampEnnek egyik példája az lenne, amikor az alkalmazottak nyilvános helyeket használnak. web olyan alkalmazások, mint a ChatGPT. Minden egyes, a promptba betáplált beviteli adattá válik, amely kikerül a szervezet ellenőrzése alól. A felhasználók túlzott mértékben megoszthatnak érzékeny, bizalmas vagy szabályozott információkat – például személyazonosításra alkalmas adatokat (PII), pénzügyi adatokat, szellemi tulajdont és forráskódot. És még ha nem is osztanak meg kifejezetten érzékeny információkat, a bemenetekből kontextusból kikövetkeztethetők érzékeny adatok.
A védelem érdekében az alkalmazottak bekapcsolhatnak egy beállítást, amely megakadályozza, hogy a bemeneteik tovább tanítsák a modellt, de ezt manuálisan kell megtenniük. A biztonság garantálása érdekében a szervezeteknek olyan módszerekre van szükségük, amelyek megakadályozzák, hogy az emberek személyes adatokat adjanak meg.

Készüljön fel a mesterséges intelligencia biztonsági vonatkozásaira

Adatkitettség
Milyen mértékben osztanak meg a felhasználók jogosulatlanul érzékeny adatokat külső MI-szolgáltatásokkal? Elegendőek-e az anonimizálási/pszeudonimizálási technikák?

API kockázatok
Hogyan fogja kezelni a harmadik féltől származó API-kon belüli sebezhetőségeket, amelyek potenciális átjárók lehetnek a támadók számára?

Fekete doboz rendszerek
Milyen döntéshozatali folyamatok járhatnak a külső MI-modellekkel, amelyek váratlan kockázatokat okozhatnak?

Szállítói kockázatkezelés
Mit tud a külső MI-szolgáltatók biztonsági gyakorlatairól? Ami még fontosabb, mit nem tud?

Lépések a mesterséges intelligencia fogyasztásának védelmére

1. Irányítás és kockázatkezelés
   • Szabályzatok kidolgozása a mesterséges intelligencia használatára vonatkozóan, beleértve azt is, hogy a szervezet milyen információkat engedélyez a felhasználóknak a GenAI-val való megosztásra, a hozzáférés-vezérlési irányelveket, a megfelelőségi követelményeket, valamint a szabálysértések bejelentésének módját.
   • Hatásvizsgálat elvégzése az információk gyűjtése, a mesterséges intelligencia használatának előnyeinek és kockázatainak azonosítása és számszerűsítése érdekében
2. Növelje a láthatóságot és a biztonsági és adatvédelmi ellenőrzéseket
   • Naplózza az összes kapcsolatot, beleértve a mesterséges intelligencia alkalmazásokkal való kapcsolatokat is, hogy folyamatosan figyelje a felhasználói tevékenységeket, a mesterséges intelligencia eszközeinek használatát és az adathozzáférési mintákat az anomáliák észlelése érdekében.
   • Fedezze fel, milyen árnyék-IT létezik (beleértve a mesterséges intelligencia eszközeit) – és hozzon döntéseket a további vezérlők jóváhagyásáról, blokkolásáról vagy rétegezéséről
   • SaaS alkalmazáskonfigurációk vizsgálata potenciális biztonsági kockázatok szempontjából (pl. jóváhagyott alkalmazások által jogosulatlan MI-alapú alkalmazásoknak adott OAuth-engedélyek, amelyek veszélyeztetik az adatok kiszivárgását)
3. Vizsgáld meg, hogy milyen adatokat be- és kilép a mesterséges intelligencia eszközeiből, és kiszűr mindent, ami veszélyeztetheti a szellemi tulajdont, befolyásolhatja a titoktartást vagy sértheti a szerzői jogi korlátozásokat
   • Biztonsági ellenőrzéseket alkalmazzon a felhasználók MI-eszközökkel való interakciójára vonatkozóan (pl. feltöltés leállítása, másolás/beillesztés megakadályozása, valamint érzékeny/tulajdonosi adatok bevitelének keresése és blokkolása)
   • Helyezzen el védőintézkedéseket, hogy megakadályozza a mesterséges intelligencia által létrehozott botok adatgyűjtését. webtelek
   • Csak akkor blokkold teljesen a mesterséges intelligencia eszközeit, ha más módon nincs lehetőség a szabályozásra. Mint tudjuk, a felhasználók megkerülő megoldásokat találnak, ami a biztonságot az irányításod alól kivonja.
4. A mesterséges intelligencia alkalmazásaihoz és infrastruktúrájához való hozzáférés szabályozása
   • Biztosítsa, hogy minden MI-eszközökhöz hozzáférő felhasználó és eszköz szigorú személyazonosság-ellenőrzésen essen át annak megállapítására, hogy ki használhatja a MI-eszközöket.
   • Identitásalapú zéró bizalom hozzáférés-vezérlés bevezetése. A minimális jogosultságok alkalmazása a feltört fiókok vagy belső fenyegetések okozta potenciális károk korlátozása érdekében.
5. Költségek és működési hatékonyság optimalizálása
   • Értsd meg, hogyan használják az emberek az MI-alkalmazásokat elemzés és naplózás segítségével, hogy kézben tarthasd a sebességkorlátozást, a gyorsítótárazást, a kérések újrapróbálkozását és a használati skálák függvényében modellezhesd a tartalék megoldásokat.

Biztosítsd, amit építesz

AI-modell betanítása
A mesterséges intelligencia fejlesztési folyamatai szélesítik a sebezhetőségi spektrumot. De mivel tapasztalattal rendelkezünk a fejlesztési folyamat kezdeti szakaszában és teljes időtartama alatti védelem terén, rálátásunk van arra, hogy mi vezet a sikerhez. A mesterséges intelligencia biztonsága terén a természetes kiindulópont a saját modelled.
Az MI-alkalmazások alapjaként minden, ami a MI-modell betanításához szükséges, átjut a kimeneteihez. Gondolja át, hogyan fogja kezdetben biztosítani ezeket az adatokat, hogy elkerülje a későbbi negatív következményeket. Ha védelem nélkül marad, azzal kockáztatja, hogy kibővíti a támadási felületet, és később alkalmazásproblémákat okoz.
Az adatok integritását biztosító biztonság kulcsfontosságú a szándékos és véletlen adatszivárgás mérséklésében. Az MI-folyamat biztonsági kockázatai a következők lehetnek:

• Adatmérgezés: A rosszindulatú adathalmazok befolyásolják az eredményeket és torzításokat okoznak
• Hallucinációkkal való visszaélés: A fenyegetések szereplői legitimálják a mesterséges intelligencia általi hallucinációkat – az információk kitalálását válaszok generálása érdekében –, hogy a rosszindulatú és illegitim adathalmazok tájékoztassák a kimeneteket.

Alternatív megoldásként, ha nem modelleket tanítasz, a házon belüli mesterséges intelligencia a feladatok elvégzéséhez szükséges modell kiválasztásával kezdhetné. Ezekben az esetekben érdemes megvizsgálni, hogy az alkotók hogyan készítették és biztosították a modellt, mivel az szerepet játszik a következtetésben.

Következtetés ez a folyamat követi a mesterséges intelligencia betanítását. Minél jobban képzett egy modell, és minél finomhangoltabb, annál jobb következtetéseket lehet levonni – bár soha nem garantált a tökéletesség. Még a magasan képzett modellek is hallucinálhatnak.

Telepítés utáni biztonság
Miután felépítetted és telepítetted a házon belüli mesterséges intelligenciádat, védened kell a privát adatait és biztonságossá kell tenned a hozzáférésüket. A jelen dokumentumban már tett ajánlások mellett, beleértve a tokenek kikényszerítését minden felhasználóhoz és a sebességkorlátozást, a következőket is figyelembe kell venned:

• Kvóták kezelése: Korlátozásokat használ a felhasználók API-kulcsainak feltörése és megosztása elleni védelemhez.
• Bizonyos autonóm rendszerszámok (ASN-ek) blokkolása: Megakadályozza, hogy a támadók túl nagy mennyiségű forgalmat küldjenek az alkalmazásoknak.
• Várótermek engedélyezése vagy a felhasználók kihívást jelentő kezelése: A kérések teljesítése nehezebbé vagy időigényesebbé válik, ami tönkreteszi a támadók gazdaságosságát.
• API-séma felépítése és validálása: Felvázolja a tervezett felhasználást az összes API-végpont azonosításával és katalogizálásával, majd felsorolja az összes specifikus paramétert és típuskorlátot.
• A lekérdezések mélységének és összetettségének elemzése: Segít a nyílt DoS-támadások és a fejlesztői hibák elleni védelemben, egészségesen tartja az eredetet, és a várt módon kiszolgálja a kéréseket a felhasználóknak.
• Fegyelem kiépítése a token alapú hozzáférés körül: Véd a veszélyeztetett hozzáféréstől, amikor a tokenek érvényesítve vannak a köztes rétegben vagy az API átjáróban.

Robusztus fenyegetésvédelem a GenAI-kísérletek során
Az elfogadástól a megvalósításig mindentagA GenAI kísérleti spektrumának minden elemének minimális vagy tolerált kockázattal kell haladnia. A jelen tanulmányból származó ismeretek birtokában, függetlenül attól, hogy szervezete valamilyen formában használ, épít vagy tervezi-e a mesterséges intelligenciát a jövőben, hatalmában áll digitális környezetét irányítani.
Bár természetes, hogy vonakodunk új képességek bevezetésével, léteznek olyan erőforrások, amelyek magabiztosságot adnak a mesterséges intelligenciával való biztonságos kísérletezéshez. Ezen erőforrások közül a szervezeteknek ma leginkább egy olyan összekötő szövetre van szükségük, amely az informatikával és a biztonsággal kapcsolatos összes feladatot összeköti. Olyanra, amely közös szálként működik, csökkenti a bonyolultságot azáltal, hogy mindennel együttműködik a környezetben, mindenhol elérhető, és ellátja a szükséges biztonsági, hálózati és fejlesztési funkciókat.

A kötőszövetnek köszönhetően számos felhasználási esetben magabiztosan használhatja, beleértve:

• Szabályozásoknak való megfelelés, szabályozott adatok mozgásának észlelésével és ellenőrzésével
• Érzékeny adatok láthatóságának és feletti ellenőrzésének visszaszerzése SaaS-alkalmazásokban, árnyék-IT-ben és új mesterséges intelligenciaeszközökben
• Fejlesztői kód védelme a feltöltésekben és letöltésekben lévő forráskód észlelésével és blokkolásával. Továbbá a SaaS-alkalmazásokban és felhőszolgáltatásokban, beleértve a kódtárakat is, előforduló konfigurációs hibák megelőzése, megtalálása és javítása.

Ahogy a mesterséges intelligencia folyamatosan fejlődik, a bizonytalanság elkerülhetetlen. Ezért olyan előnyös egy olyan stabilizáló erő, mint a Cloudflare.

Védje magát a mesterséges intelligencia kockázataitól háromféle LLM-ben
A felhasználástól függően a mesterséges intelligencia által a szervezetek számára jelentett kockázati kitettség szintje változó lesz. Rendkívül fontos megérteni a nagy nyelvi modellek (LLM) használatával és fejlesztésével kapcsolatos különféle kockázatokat, majd aktívan részt venni az LLM telepítéseiben.

LLM típusa Kulcsfontosságú kockázat

• Belső hozzáférés érzékeny adatokhoz és szellemi tulajdonhoz
• Termék hírnevéhez fűződő kockázat
• Nyilvános, érzékeny adatok kiszivárgása

Méretezhetőség, egyszerű használat és zökkenőmentes integráció
A Cloudflare csatlakozási felhője a kezedbe adja az irányítást, és javítja a láthatóságot és a biztonságot – így a mesterséges intelligenciával végzett kísérletezés biztonságos és skálázható. Sőt, szolgáltatásaink mindent megerősítenek, biztosítva, hogy ne kelljen kompromisszumot kötnöd.
a felhasználói élmény és a biztonság között.
Tekintettel arra, hogy a legtöbb szervezet vagy csak mesterséges intelligenciát használ, vagy használja és épít is, a Cloudflare használata azt jelenti, hogy soha nem halogatjuk a mesterséges intelligencia projekteket.

• Globális hálózatunk lehetővé teszi az ellenőrzések gyors skálázását és érvényesítését, bárhol is van rájuk szükség.
• Könnyű használatunknak köszönhetően egyszerűen telepíthetők és kezelhetők a mesterséges intelligencia felhasználóinak felhasználására vonatkozó szabályzatok.
• Egyetlen programozható architektúra lehetővé teszi a biztonság rétegezését az alkalmazásokra, amelyeket építesz, anélkül, hogy megzavarnád a felhasználók mesterséges intelligencia használatát.

A Cloudflare csatlakozási felhője a mesterséges intelligenciával végzett kísérletek minden aspektusát védi, különösen:

• Zero Trust és Secure Access Service Edge (SASE) szolgáltatásaink segítenek csökkenteni a kockázatokat, ahogyan a munkaerő harmadik féltől származó mesterséges intelligencia eszközöket használ.
• Fejlesztői platformunk segít szervezetének biztonságosan és hatékonyan felépíteni saját AI-eszközeit és -modelljeit
• A mesterséges intelligenciával történő biztonság érdekében platformunk mesterséges intelligenciát és gépi tanulási technikákat használ fel fenyegetésfelderítéshez, amelyet aztán a szervezetek mesterséges intelligenciával végzett kísérleteik során történő védelmére használnak.

Következő lépések
A szervezet mesterséges intelligencia használatának védelmétől kezdve az Ön által létrehozott MI-alkalmazások védelméig a Cloudflare for AI mindent biztosít. Szolgáltatásainkkal korlátlan interoperabilitással és rugalmas integrációkkal bármilyen sorrendben bevezethet új funkciókat.

További információért látogasson el cloudflare.com

Ez a dokumentum kizárólag tájékoztató jellegű, és a Cloudflare tulajdonát képezi. Ez a dokumentum nem jelent semmilyen kötelezettségvállalást vagy garanciát a Cloudflare vagy leányvállalatai részéről az Ön felé. Ön felelős a dokumentumban található információk saját, független értékeléséért. A jelen dokumentumban található információk változhatnak, és nem törekszik arra, hogy teljes körűek legyenek, vagy hogy minden szükséges információt tartalmazzanak. A Cloudflare ügyfeleivel szembeni felelősségét és felelősségét külön megállapodások szabályozzák, és ez a dokumentum nem része a Cloudflare és ügyfelei közötti megállapodásnak, és nem módosítja azt. A Cloudflare szolgáltatásokat „ahogy van” alapon, bármilyen kifejezett vagy hallgatólagos garancia, állítás vagy feltétel nélkül nyújtjuk.
© 2024 Cloudflare, Inc. Minden jog fenntartva. A CLOUDFLARE® és a Cloudflare logó a Cloudflare védjegyei. Minden más cég- és terméknév és logó a velük kapcsolatban álló vállalatok védjegye lehet.

Cloudflare | Biztonságos mesterséges intelligencia gyakorlatok biztosítása1 888 99 FLARE | enterprise@cloudflare.com | Cloudflare.com
REV:BDES-6307.2024. AUG. 1129. XNUMX.

Gyakran Ismételt Kérdések

• K: Miért fontos a GenAI-kísérletek biztonságossá tétele?
  V: A GenAI-kísérletek biztonságossá tétele kulcsfontosságú az adatvédelmi incidensek, a felhasználói visszaélések és a rosszindulatú viselkedések megelőzése érdekében, amelyek veszélyeztethetik az érzékeny információkat és megzavarhatják a szervezet működését.
• K: Hogyan javíthatják a szervezetek a mesterséges intelligencia biztonságát?
  V: A szervezetek fokozhatják a mesterséges intelligencia biztonságát a kockázatok megértésével, megbízható mesterséges intelligenciaeszközök használatával, a biztonságot szem előtt tartó, egyedi megoldások kidolgozásával, valamint a mesterséges intelligencia alkalmazásait védő robusztus biztonsági intézkedések bevezetésével.

Dokumentumok / Források

Felhőfáklyák a biztonságos mesterséges intelligencia gyakorlatok biztosítása érdekében [pdf] Felhasználói útmutató Biztonságos MI-gyakorlatok biztosítása, Biztosítás, Biztonságos MI-gyakorlatok, Gyakorlatok

Hivatkozások

• Felhasználói kézikönyv