最近,我有機會在洛杉磯的一個活動上與 Google Cloud 的首席運營官 Francis de Souza 進行了深入交流。在我們周圍的喧囂中,de Souza 以大學教授般冷靜而沉穩的語氣,為企業在當前 AI 安全浪潮中提供了寶貴的建議。他指出,「將會有一個過渡期,然後我認為我們將會達到一個更好的狀態。」當時他並不是在談論 Google,但顯然即使是 Google 也仍在摸索中。
de Souza 的核心信息是安全性不能成為事後考慮的問題。他表示,「隨著企業開始這一 AI 旅程,他們需要採取平台方法。安全性不是可以事後附加的,也不是可以留給員工自己去做的。」他特別提到「影子 AI」的問題,即員工在沒有組織監管的情況下使用消費者工具,並主張企業需要從一開始便對其平台提出安全性、治理和可審計性等要求。「沒有數據策略和安全策略的 AI 策略是不存在的,它們必須相輔相成。」
企業在 AI 安全中需採取平台方法
值得注意的是,他並不是單純推銷 Google Cloud。他指出,Google 致力於多雲架構,並強調企業如果認為自己只在一個雲上運行,那幾乎肯定不是這樣。他表示,「即使選擇了一個雲,他們也在依賴 SaaS 應用,還有可能與使用不同雲的商業夥伴合作。」他認為,企業必須在不同雲和模型之間保持一致的安全態勢。他還指出,威脅環境已經發生了根本性的變化,舊有的防禦模式過於緩慢。
他提到,從初次違規到攻擊下一階段的平均時間已從八小時降至 22 秒,而攻擊面也擴展到了傳統網絡邊界之外。「除了你通常的資產,現在還有模型。你有用來訓練模型的數據管道,有代理,有提示。所有這些都需要受到保護。」
de Souza 提到的一個威脅卻鮮有關注:通過公司內部系統流動的代理可能會發現多年來被遺忘的數據庫。「許多組織擁有老舊的 SharePoint 服務器 [及訪問控制],他們並未真正更新,但因為沒有人知道它們的存在,所以這些問題似乎無關緊要。然而,漫遊於企業中的代理會發現這些數據資產並暴露其數據。」在他看來,解決方案是以機器速度應對機器速度。「我們現在看到了一種 AI 原生的、完全代理的防禦,組織可以運行代理來推動他們的防禦。」
他表示,「與其依賴人為主導的防禦,現在可以讓人類監督一個完全由代理驅動的防禦體系。」他補充道,這已經成為一個領導層的問題,而不僅僅是技術問題。「這是董事會級別的問題,也是高管團隊的問題。這不僅僅是安全團隊的問題。」
儘管 AI 承擔了更多的防禦工作,但能夠監督這一工作的合格人員卻供不應求,而 AI 本身引入的漏洞正以比安全團隊能夠應對的速度不斷增加。LinkedIn 的首席信息安全官 Lea Kissner 本週在接受《紐約時報》採訪時表示:「我們將需要人員來應對這場漏洞災難」,並補充道,她預計這個行業在可持續的長期內不會理解 AI 安全。這將我們帶回到平台提供商本身。
根據《註冊報》最近幾周發表的一系列報導,許多 Google Cloud 開發者因未經授權的 API 調用 Gemini 模型而遭遇了五位數的賬單——這些服務許多人從未使用或故意啟用過。這些案件遵循了一個熟悉的模式:最初用於 Google 地圖的 API 密鑰,根據 Google 自己的指示公開,卻在 Google 擴大其範圍而未明確披露變更後,悄然變得能夠訪問 Gemini。
面試準備平台 Prentus 的首席執行官 Rod Danan 表示,在攻擊者利用他的 API 密鑰後,他的賬單在大約 30 分鐘內達到 US$10,138 (約 HK$79,076)。來自悉尼的開發者 Isuru Fonseka 也遭遇了類似的問題,儘管他相信自己設置了 US$250 (約 HK$1,950)的支出上限,但醒來時卻發現賬單約為 17,000 澳元。兩人都不知道的是,Google 的自動系統已根據賬户歷史提升了他們的計費層級,將有效上限提高至高達 US$100,000 (約 HK$780,000),卻未經明確同意。
Google 在《註冊報》發表的初步報導後,對兩人進行了退款。然而,Google 告訴《註冊報》,他們無意改變自動升級計費層級的政策,稱其優先考慮防止服務中斷高於執行用户所述的預算偏好。
同時,還存在開發者試圖關閉服務後會發生什麼的問題。《註冊報》本週報導了安全公司 Aikido 的研究,發現即使開發者捕獲到被攻擊的密鑰並立即刪除,仍可能不安全。根據 Aikido 的發現,攻擊者顯然可以在最多 23 分鐘內繼續使用該密鑰,因為 Google 的撤銷在其基礎設施中逐漸擴散。Aikido 研究員 Joseph Leon 告訴《註冊報》,在此期間,成功率不可預測——在某些時段內超過 90% 的請求仍然可以進行身份驗證——攻擊者可以利用這段時間從 Gemini 中提取文件和緩存的對話數據。
Leon 還指出,Google 自己更新的憑證格式似乎沒有相同的問題:服務賬户 API 憑證在約五秒內被撤銷,而 Gemini 的新 AQ 前綴密鑰格式約需一分鐘。「這兩種方式都能在 Google 的規模下運行。」他在 Aikido 的相關論文中寫道。「這表明,這對 Google API 密鑰來説也是技術上可解決的。」簡而言之,根據 Leon 的説法,23 分鐘的窗口並不是工程上的限制,而是公司的優先事項問題。
在閲讀 de Souza 的建議時,這一點值得考慮,這些建議是合理的,並應受到非常認真的對待。他的觀點並沒有錯,但目前平台所規定的內容與他們自身適應的速度之間存在著差距,這一點也值得注意。
📬 免費訂閱 TechRitual 科技精選
按「免費訂閱」即同意收到 TechRitual 嘅科技資訊及優惠。可隨時取消訂閱。
