网站宣传推广方案,asp.net小型网站开发,做正规小说网站有哪些,网站开发 一眼保护生成式 AI#xff1a;生成式 AI 安全范围矩阵简介
生成式人工智能#xff08;生成式 AI#xff09;正在吸引各大企业的关注#xff0c;并在全球各行各业中重塑客户体验。这一 AI 能力的飞跃#xff0c;由数十亿参数的大语言模型#xff08;LLM#xff09;和Transfo…保护生成式 AI生成式 AI 安全范围矩阵简介
生成式人工智能生成式 AI正在吸引各大企业的关注并在全球各行各业中重塑客户体验。这一 AI 能力的飞跃由数十亿参数的大语言模型LLM和Transformer 神经网络驱动为生产力提升、创意能力扩展等方面带来了全新的可能性。
随着企业为员工和客户评估并采用生成式 AI网络安全从业者必须快速评估这种不断发展的技术所涉及的风险、治理和控制措施。作为与全球规模最大、最复杂的客户合作的安全专家亚马逊云科技的团队经常被咨询关于生成式 AI 的最新趋势、最佳实践以及安全和隐私方面的挑战。在此背景下我们希望分享一些关键策略帮助大家加速生成式 AI 安全体系的建立。
这篇文章是保护生成式 AI 系列的第一篇旨在建立一种思维模型帮助大家根据所部署的生成式 AI 负载类型来分析风险和安全影响。接下来我们会重点介绍安全领导者和从业者在保护生成式 AI 负载时需要优先考虑的关键因素。在后续的文章中我们将深入探讨如何开发符合安全要求的生成式 AI 解决方案、如何对生成式 AI 应用进行威胁建模、如何评估合规性和隐私问题并探索如何利用生成式 AI 来提升企业自身的网络安全能力。 从哪里开始上手生成式AI安全
与所有新兴技术一样建立坚实的技术基础对于理解相关的安全范围、风险、合规和安全要求至关重要。要更深入了解生成式 AI 的基础知识大家可以先学习生成式 AI 的定义、独特术语及其使用场景并查看各行业如何利用它来推动创新。
如果大家刚开始探索或采用生成式 AI可能会认为这需要全新的安全体系。虽然生成式 AI 确实有一些独特的安全考虑但好消息是它本质上仍然是一种数据驱动的计算工作负载因此可以沿用许多成熟的安全框架。如果大家多年来一直在遵循云安全的最佳实践并参考了Well-Architected Framework 的安全支柱、Well-Architected 机器学习白皮书等建议那么已经在正确的道路上了
核心的安全领域例如身份与访问管理IAM、数据保护、隐私与合规性、应用安全和威胁建模在生成式 AI 负载中仍然至关重要。例如如果生成式 AI 应用需要访问数据库大家需要明确数据库的数据分类、如何保护数据、如何检测潜在威胁以及如何管理访问权限。但除了传统的安全实践生成式 AI 还带来了一些新的风险和额外的安全考量这篇文章将重点介绍需要关注的安全因素。 确定安全范围
如果企业决定采用生成式 AI 解决方案安全团队该如何行动和所有安全工作一样第一步是明确安全范围。这取决于具体的使用场景比如企业可能选择一个托管服务由云服务商负责模型和基础设施的管理或者选择自建服务和模型。
在亚马逊云科技安全是最重要的优先事项我们相信为客户提供合适的工具至关重要。例如大家可以使用Amazon Bedrock这是一个无服务器、API 驱动的生成式 AI 平台提供 AI21 Labs、Anthropic、Cohere、Meta、Stability.ai 和 Amazon Titan 的预训练基础模型。Amazon SageMaker JumpStart 提供了额外的灵活性同时支持预训练模型帮助大家更安全地加速 AI 旅程。此外大家还可以在 Amazon SageMaker 上构建和训练自己的模型。
不同的生成式 AI 解决方案涉及不同的基础设施、软件、访问权限和数据模型因此会带来不同的安全考量。为了统一管理安全评估我们制定了一套安全范围分类方法称为 生成式 AI 安全范围矩阵Generative AI Security Scoping Matrix如下图所示。 生成式 AI 安全范围
第一步是确定业务的使用场景属于哪个安全范围。我们将这些范围分为 1–5 级从最低的自主管理到最高的自主管理。 购买生成式 AI 服务
范围 1消费级应用
企业使用公开的第三方生成式 AI 服务免费或付费。此时企业无法访问或修改模型或训练数据只能按服务协议调用 API 或使用应用。
示例 一名员工使用一个生成式 AI 聊天应用为即将开展的营销活动生成创意。
范围 2企业级应用
企业使用嵌入生成式 AI 功能的第三方企业软件并与供应商建立商业合作关系。
示例 企业使用一款具备 AI 会议议程生成功能的第三方日程管理软件。 自建生成式 AI 解决方案
范围 3预训练模型
企业使用第三方预训练基础模型来构建自己的应用并通过 API 直接集成到业务系统。
示例 企业基于 Anthropic Claude 模型使用 Amazon Bedrock API 构建客服聊天机器人。
范围 4微调模型
企业基于第三方基础模型进行微调使用自有数据优化模型以适配特定业务场景。
示例 企业通过 API 访问基础模型并构建营销工具使其能生成与企业品牌风格匹配的营销内容。
范围 5自主训练模型
企业从零开始训练生成式 AI 模型完全控制数据、算法和训练过程。
示例 一家企业希望训练一个专门针对某个行业的大型语言模型LLM然后将其授权给行业客户。 关键安全领域
在生成式 AI 安全范围矩阵中我们定义了五个关键安全领域不同的生成式 AI 解决方案对这些安全领域的要求也有所不同。通过确定业务所处的安全范围安全团队可以快速聚焦重点并明确需要评估的安全领域。
1. 治理与合规 – 保障业务安全运行的政策、流程和合规报告。
2. 法律与隐私 – 生成式 AI 解决方案的法律、合规和隐私要求。
3. 风险管理 – 识别潜在安全威胁并制定应对策略。
4. 安全控制 – 实施必要的安全控制措施以降低风险。
5. 系统韧性 – 保障生成式 AI 解决方案的可用性和 SLA。 在后续的生成式 AI 安全系列文章中我们将继续解析生成式 AI 安全范围矩阵帮助大家理解如何根据 AI 部署范围调整安全策略和实施方案。希望大家能在企业的采购、评估和安全架构规划过程中采用并参考这套安全矩阵。欢迎大家持续关注小李哥的AI安全系列文章系列不要错过更多国际前沿的云计算方案
