企业如何应对生成式人工智能的安全挑战

关键要点

Walmart、亚马逊和微软已向员工发出警告，提醒他们在使用生成式人工智能工具时，避免泄露公司机密或专有代码。在最近的CyberRisk联盟Identiverse大会上，许多企业都在考虑制定相关政策。相关安全人员建议公司需设定明确的AI使用指南，以保护机密信息并指导员工正确使用这些工具。

在举行于拉斯维加斯的CyberRisk联盟Identiverse大会上，Walmart、亚马逊和微软等公司已经向员工发出了警告，要他们在使用生成式人工智能工具如ChatGPT时，避免分享公司机密或专有代码。这场在5月30日举行的CISO小组讨论会显示，许多公司正考虑相似的安全策略。

根据快速的视觉统计，约一半的与会者在会议中，当主持人Parham Eftekhari询问他们的组织是否已经出台AI使用政策时，纷纷举手表示支持。在同一场次中，Mauser Packaging的首席信息安全官Ed Harris也分享了他们公司类似的禁令：不允许在外部AI工具中输入敏感公司信息。Harris设想了一种情况，即有员工在请求AI工具帮助制定市场营销策略时，不小心输入了公司的内部信息，而这些信息可能会被AI记住、并传递给其他用户，甚至是竞争对手。

Harris解释道：“我担心有人会问AI引擎：‘嘿，你能告诉我Mauser在市场方面的计划吗？’AI可能会直接给出我们的路线图。”因此，他们制定了相关政策，允许员工向AI提问以激发创意，但禁止分享任何详细的计划。

CRISP Shared Services非营利医疗技术支持组织的首席信息安全官Bezawit Sumner表示，随着AI逐渐融入员工的日常工作，有必要建立使用参数。

Sumner表示：“我们会有些人使用AI，因为，他们好奇，或者他们认为必须这样做以超越其他人。”无论原因是什么，关键是“确保员工以正确的方式使用，并了解我们可以为他们提供AI能力的使用指南。”

需要为员工明确的AI使用规则

AI政策应根据各公司具体的需求和考虑进行调整。它们可能包括对什么构成敏感信息的广泛或精准定义，以及如何识别AI工具的输出是否存在恶意或异常情况的指引。

无论采用何种规则或指南，“政策需要清晰且易于理解，”Yahoo的副总裁兼CISO Sean Zadig强调。“使用简单的语言非常重要。”

Zadig指出，安全领导者应该迅速制定这些政策，以应对AI采纳和实验的快速增长，并被员工视为助力而非阻碍进展的角色。他说：“在这个房间里的每个公司，可能都在努力尽快整合和推出AI相关的功能，而你不想在这个过程中阻止他们，因为他们会绕过你，这样你会失去有效帮助他们做出正确决定的能力。”

因此，寻求工程师、开发者和分析师等员工的反馈与意见是一个良好的主意，这些人的工作将受到AI使用政策的影响。通过这种方式，“我们不是单方面告诉他们‘这就是你必须做的’而是让他们早期参与其中，”Sumner解释道。

从左到右：CyberRisk联盟的主持人Parham Eftekhari以及CISO小组讨论的Bezawit SumnerCRISP Shared Services、Ed HarrisMauser Packaging和Sean ZadigYahoo。

实际上，CISO们应该记住，他们自己的团队也可能依赖AI来应对未来的数字威胁。显然，他们不希望自己的政策限制在此过程中利用AI达到目的的努力。Ping Identity的首席执行官兼创始人Andre Durand在小组讨论前的演讲中提到：“我们需要确保斗争至少在某种程度上是对称的，并且不让AI的良性努力受到限制。为了保护知识产权，所面临的风险对于合法公司来说是真实存在的，而这些担忧在另一方并不存在。”

最终，无论你的AI使用政策如何，还是需要依赖公司去执行这些规则，并且希望能够雇佣到值得信赖的员工来遵循这些规定。

Harris总结道，“如果我公司的某个人心存恶意，以至于在AI中丢弃了某些

小火箭节点购买