行业新闻与博客

企业正在探索如何平衡人工智能的好处与相关风险。在此背景下，Netskope 威胁实验室最近发布了最新版本的云和威胁报告， 重点关注“企业中的人工智能应用程序”。 

该报告研究了人工智能应用程序的风险，包括增加企业的攻击面。

鉴于媒体的大肆宣传和兴趣，报告发现企业中访问人工智能应用程序的用户数量呈指数级增长也就不足为奇了。与此同时，内部信息意外泄露的风险也越来越大。研究显示，2023年5月至 6月期间，每天至少访问一款 AI 应用的企业用户比例每周增加 2.4%，同期总计增加 22.5%。 

ChatGPT 是最受欢迎的企业人工智能应用程序，其每日活跃用户数量是任何其他人工智能应用程序的八倍多。用户超过 1000 名的组织平均每天使用 3 个不同的 AI 应用程序，而用户超过 10,000 名的组织平均每天使用 5 个 AI 应用程序，每 100 个企业用户中就有一个每天与 AI 应用程序交互。

这种快速增长很大程度上是由潜在的人工智能应用程序在生产力和竞争优势方面为企业提供多种好处所推动的。ChatGPT 等应用程序可用于多种用途，例如检查源代码是否存在安全缺陷、协助编辑书面内容以及做出更好的数据驱动决策。 

但在拥抱生成式人工智能应用时代时，组织和 IT 领导者面临着一个古老的困境：在安全方面可接受的成本或权衡是多少，以换取生成式人工智能所承诺的好处？

源代码是最常暴露的敏感数据类型

使用人工智能应用程序时，意外共享敏感信息或知识产权的风险是一个重大问题。研究发现，组织预计每 10,000 名用户每天会收到大约 660 个 ChatGPT 提示，其中源代码是最常暴露的敏感数据类型，由 10,000 名企业用户中的 22 名发布，平均每月产生 158 起事件。这领先于每月受监管的数据（平均 18 起事件）、知识产权（平均 4 起事件）以及包含密码和密钥的帖子（平均 4 起事件）。

 因此，在一些用户不小心通过 ChatGPT 泄露敏感数据后，三星于 2023 年 5 月决定禁止员工使用生成式 AI 应用程序 （并开发自己的 AI 应用程序）也就 不足为奇了。

即使用户不是泄漏源，平台本身也不能免受安全漏洞的影响。例如，2023 年 3 月底，ChatGPT 背后的公司 OpenAI 提供了 因开源库中的错误导致的数据泄露的详细信息，迫使其暂时使生成式 AI 应用程序下线。此次 数据泄露 暴露了一些客户的付款相关信息，并允许查看一些活跃用户的聊天历史记录中的标题。

然而，由于很少有公司有资源效仿三星并在内部开发自己的人工智能工具，因此有必要在企业的风险和机遇之间找到正确的权衡。

采取控制措施以安全地启用生成式人工智能应用程序

组织应该围绕 ChatGPT 和其他生成式人工智能应用程序实施具体的控制，并且干预水平的趋势因垂直行业而异。一般来说，金融服务和医疗保健等受到严格监管的行业更喜欢采取更为保守的方法，其中近五分之一的组织 (18%) 强制实施完全封锁（即不允许用户使用生成式人工智能应用程序）。 

在更具创业性的垂直领域（例如技术）中，只有十分之一的组织 (4.8%) 采用这种保守的方法，相比之下，这些组织更喜欢基于 DLP 控制的更细粒度的方法来检测是否将特定类型的敏感信息发布到 ChatGPT 以及类似的应用程序如源代码、PPI 等。这些部门还将用户的角色及其责任置于安全流程的中心，在 20% 的情况下实施实时用户辅导，以提醒用户公司政策和与人工智能应用程序相关的风险（这种情况显然是三星的情况下没有发生）。

基于精细的 DLP 策略和实时用户指导，越来越多的行业可能会采用这种方法，因为他们希望释放人工智能应用程序的全部潜力并降低相关风险。

如何安全地采用人工智能应用程序

随着每一波技术变革的浪潮，安全和 IT 领导者都在努力平衡安全性与创新的紧迫性。然而，在企业中采用人工智能应用程序涉及 IT 团队应熟悉的许多核心概念，即识别允许的应用程序并实施控制，使用户能够充分利用它们，同时保护组织免受风险。良好实践的一些一般性建议包括：

• 定期审查人工智能应用程序活动、趋势、行为和数据敏感性，以识别组织面临的风险。
• 阻止访问不符合合法商业目的或构成不成比例风险的应用程序。
• 使用 DLP 策略检测包含潜在敏感信息的帖子，包括源代码、受监管数据、密码和密钥以及知识产权。
• 采用实时用户指导（与 DLP 相结合）来提醒用户在交互过程中有关使用 AI 应用程序的公司政策。
• 确保所有安全防御共享情报并共同努力简化安全运营。

有了这些云安全的基本原则，公司应该能够测试和试验这些人工智能应用程序，并确信他们的用户不会无意中暴露公司专有知识产权。 

此外，它还允许公司测试主流应用程序之外的人工智能应用程序的不同实现，例如文本和图像生成，以及可以显着提高业务效率的更细致的用例。