行业新闻与博客

该报告是根据关于安全、可靠和值得信赖的人工智能开发和使用的第 14110 号总统行政命令编写的，还就如何减轻此类风险向金融机构提出了一系列建议。

金融领域基于人工智能的网络威胁

报告中接受采访的金融服务和技术相关公司承认生成式人工智能等先进人工智能工具所带来的威胁，一些人认为它们最初会让威胁行为者占据“上风”。

这是因为此类技术提高了恶意软件和社交工程等攻击的复杂性，并减少了技能较低的攻击者的进入壁垒。

网络威胁行为者利用人工智能攻击金融系统的其他方式包括漏洞发现和虚假信息，包括使用深度伪造品冒充首席执行官等个人来诈骗公司。

该报告承认，金融机构多年来一直使用人工智能系统来支持运营，包括网络安全和反欺诈措施。然而，该研究中的一些机构报告称，现有的风险管理框架可能不足以涵盖生成式人工智能等新兴人工智能技术。

许多受访者表示，他们正在关注金融组织中使用的人工智能系统面临的独特网络威胁，这可能是内部威胁行为者的特定目标。

其中包括数据中毒攻击，其目的是破坏人工智能模型的训练数据。

报告中指出的对内部人工智能解决方案的另一个担忧是，人工智能系统的资源需求通常会增加机构对第三方 IT 基础设施和数据的直接和间接依赖。

受访者表示，培训数据的收集和处理方式等因素可能会使金融组织面临额外的财务、法律和安全风险。

如何管理人工智能特定的网络安全风险

财政部提供了金融组织可以采取的一系列步骤，以解决与人工智能相关的直接操作风险、网络安全和欺诈挑战：

• 利用适用的法规。虽然现有的法律、法规和指南可能没有明确涉及人工智能，但其中一些原则可以适用于人工智能在金融服务中的使用。这包括与风险管理相关的法规。
• 改善数据共享，构建反欺诈人工智能模型。随着越来越多的金融组织部署人工智能，大小机构之间在欺诈预防方面出现了巨大差距。这是因为大型组织往往比小型组织拥有更多的历史数据来构建反欺诈人工智能模型。因此，应该有更多的数据共享，以允许较小的机构在该领域开发有效的人工智能模型。
• 开发数据供应链映射的最佳实践。生成式人工智能的进步强调了监控数据供应链的重要性，以确保模型使用准确可靠的数据，并考虑隐私和安全。因此，业界应该制定数据供应链映射最佳实践，并考虑为供应商提供的人工智能系统和数据提供商实施“营养标签”。这些标签将清楚地标识哪些数据用于训练模型及其来源。
• 解决人工智能人才短缺问题。敦促金融组织对技能较低的从业人员进行如何安全使用人工智能系统的培训，并为信息技术以外的员工提供针对特定角色的人工智能培训。
• 实施数字身份解决方案。强大的数字身份解决方案可以帮助打击人工智能欺诈并加强网络安全。

该报告还承认，政府需要采取更多行动来帮助组织解决基于人工智能的威胁。这包括确保州和联邦层面以及全球范围内的人工智能监管协调。

此外，财政部认为，美国国家标准与技术研究所 (NIST) 的人工智能风险管理框架可以进行定制和扩展，以包含更多与金融服务行业相关的人工智能治理和风险管理的适用内容。

美国国内财政部副部长 Nellie Lian 评论道：“人工智能正在重新定义金融服务领域的网络安全和欺诈，拜登政府致力于与金融机构合作利用新兴技术，同时防范对运营弹性和金融稳定的威胁。