Hart Rossman谈生成式AI“深度防御”策略该怎么做
从去年的银色亮片夹克,到今年的彩色背带裤,亚马逊云科技安全副总裁Hart Rossman的穿搭,在人群中依旧抢眼。
作为亚马逊云科技的第一位安全顾问,Hart Rossman已在公司工作了13年。今年,他特意以这身造型亮相re:Inforce,是因为要做一场关于如何在亚马逊云科技上构建生成式AI安全基础的分享。
这既是他的个人风格,也为生成式AI安全增加了“可见度”。
Hart Rossman强调,面对生成式AI,企业需要一套“深度防御”策略:先做策略、流程、意识培训和教育,然后才是技术层面的起点,身份与访问控制。
此外,亚马逊云科技也是首个通过FedRAMP High和美国国防部IL-4/5认证的云服务商,适用于Anthropic和Meta基础模型。“我们正在追求最高等级的安全保障来服务客户。”Hart Rossman认为。这并不是终点,亚马逊云科技始终从客户需求出发,持续学习、不断挑战自我,力求把安全性做到更好。
亚马逊云科技安全副总裁Hart Rossman
生成式AI让安全范式发生转移
一年前,大家在面对生成式AI时,提出的问题不是担忧,更多是出于不了解。因为当你没有用过一种新技术是,自然不知道会遇到什么。
Hart Rossman看到生成式AI有两个特别值得注意的现象,这有助于企业理解AI安全的核心基础。
第一个现象是,关于大语言模型,如今的授权模型早已不再是针对单个数据元素,不像过去那样在数据库中设置行级或单元格级别的权限。在大语言模型里,所有信息从技术上讲对用户都是可访问的。那么问题变成,我们该如何为整个模型本身建立访问控制和授权机制,而不是针对模型内部每条数据逐个控制。
亚马逊云科技也在探索如何构建与大语言模型交互的分布式系统,比如RAG框架、API接口、接入外部数据集。但需要注意的是,更多大语言模型的训练是预先完成的,意味着它的访问模型是固化的。
Hart Rossman解释称,这有点像编译型代码和解释型代码的区别:我们习惯在解释型环境里实现授权逻辑,随时查看和调整执行过程;现在一旦模型训练完成,就像代码已经编译好,内部细节便无法再查看或修改。
因此,真正要做的是对“模型本身”进行访问控制和授权,而不是对其底层训练数据进行授权。
第二个现象是,我们正在迈向AI智能体阶段,企业已经开始把AI智能体当作“虚拟同事”来看待。
许多组织将AI智能体视作更复杂分布式系统中的一部分,因此问题变成:如何合理赋予AI智能体权限,确保它在安全可控的前提下完成任务。就像任何深度防御策略一样,一切都要从身份开始,然后是架构、数据、运维、响应。
用生成式AI改写安全运营三大环节
将安全融入开发、升级流程的能力,正在变得越来越重要,亚马逊云科技的安全团队正在三个方面融入生成式AI。
第一是代码辅助,比如,使用Amazon CodeGuru或其他编码助手,开发者可以在编码阶段自动执行安全检查,实现“安全左移”,也就是在软件开发生命周期的早期,就把潜在的安全隐患消除。同时,客户可以通过Amazon Q for Business对旧有Java代码进行升级改造,并在这个过程中自动完成安全加固和依赖项更新。
第二是漏洞评估和渗透测试,很多客户和合作伙伴已经能够实现这类工作的自动化。如果再结合传统的模糊测试(fuzz testing),就能从整体安全测试策略中获得更高质量的检测结果。
第三是,事件响应,事件响应的本质是调查,涉及数据分析、解读和推理。不仅亚马逊云科技客户安全事件响应团队(CIRT)在使用生成式AI辅助调查,很多合作伙伴和客户也开始将生成式AI工具与人类分析师协作,提升事件响应的效率与判断质量。
Hart Rossman最近最常用的服务就是全新的Amazon Security Hub,其在原有基础上进行了全面升级,变得更加直观、易用,带来了既强大又简洁的安全运营体验。他用了新版本一段时间后,现在甚至有些记不清旧版是什么样子了。
他非常喜欢Amazon Security Hub的一点是,关键信息能在关键时刻出现在你面前。他谈到,Amazon Security Hub可以更好地进行漏洞优先级管理,也能直观展现来自Amazon GuardDuty检测的攻击路径。
Hart Rossman的团队负责运营的Amazon Security Response Service,与Amazon GuardDuty 和Amazon Security Hub是深度集成的。这次新功能升级,让团队在处理客户实时安全事件时,响应速度和处置效率都得到进一步提升。