亚马逊首席安全官：如何用生成式AI提高企业的安全水平？-DOIT

生成式AI正以前所未有的速度快速发展，其影响力遍及各行各业。在企业安全领域，生成式AI无疑是把双刃剑，技术快速发展的同时，也带来了不确定性。很多人想问的是：生成式AI到底是企业安全的福音，还是潜在的隐患？

其实，企业面对生成式AI方面别无选择。因为，生成式AI如果掌握在黑客手里，就可以更轻松地制造更多、更复杂多变的攻击方案。如果掌握在安全人员手里，则可以提高安全工作效率，更好地做出应对。

所以，企业应该思考如何最大化生成式AI的积极影响。此前，亚马逊的首席安全官Steve Schmidt在《华尔街日报》的采访报道中分享了一些洞察和建议。作为大型互联网公司的首席安全观，他站在了安全攻防的前线，希望他的分享能带来一些启发。

第一阶段：从智能编码工具开始拥抱GenAI，它对安全有积极作用

我们看到，亚马逊以及亚马逊云科技都在积极拥抱生成式AI技术。2023年上半年，亚马逊云科技就宣布发布做大模型托管的专业服务Amazon Bedrock以及用于代码生成的智能服务Amazon CodeWhisper。

具体到安全方面，Steve Schmidt肯定了生成式AI来写代码对于提高软件开发安全性的价值。他表示，“我认为利用生成式AI提升安全代码的编写工作，能够有效地推动整个行业进入更高级别的安全领域。”

Steve Schmidt认为，生成式AI能让我们在一开始就编写更加安全的代码，对安全行业影响深远。从安全和成本的角度来看，从最开始编写安全的代码，要比在软件开发后期修改更有效。代码编写方式是信息安全的关键，早期的小问题可能导致严重的安全后果。

Amazon CodeWhisperer是一个具有内置安全扫描功能的AI编码助手，能够基于注释生成代码、追踪开源参考并扫描查找漏洞。这个工具对个人开发者免费，对提高代码的安全性具有实际帮助，是所有开发者都可以轻松用起来的工具。

业内很多技术专家都认可，程序开发是人工智能的最早落地的典型场景之一。因为AI可以处理复杂的数据分析任务，自动化重复性工作，还能提供智能决策支持，这些都是提高程序开发效率和质量的关键因素。

如果企业的开发者积极采用像Amazon CodeWhisperer这样的智能代码编写工具，不仅能提高代码编写效率，还能帮助识别潜在的代码缺陷和安全漏洞。对企业来说，可以从智能代码编写工具开始拥抱生成式AI，在安全方面带来积极影响。

第二阶段：企业落地GenAI时候要注意的安全挑战

在谈到企业在使用生成式AI要注意的安全问题时，Steve Schmidt认为应该先考虑三个主要的安全挑战。

首先，是关于数据来源和管理的问题。企业需要了解用来用于模型训练的数据来自哪里，以及这些数据在整个工作流程中是如何被处理和保护的。

第二，对查询数据的保护也同样重要。除了训练数据，企业在使用生成式AI时输入的查询也可能会包含敏感信息。企业需要清楚这些数据如何被AI服务处理，以及查询结果是如何产生的。所以，保护查询数据的重要性不亚于训练数据。

第三点，输出的准确性。不同使用场景对AI模型输出的准确性有不同的要求。企业需要确保AI模型的输出不仅准确，还符合企业的最佳实践和业务需求。比如在生成代码时，需要确认代码是否符合预期标准等。

结合亚马逊内部的实践经验，Steve Schmidt也给出了企业内部落地生成式AI的三个安全建议。

第一个建议是帮助员工安全地用AI。他认为，安全团队不要简单拒绝员工使用新技术，而是应该教育、指导员工如何安全地使用AI，可以设置一些防护栏，在技术上使用能够满足安全预设目标的云服务。

第二个建议是增强数据使用的可见性。他认为，应该使用专业的工具来更好地监控员工是如何使用数据的。有了好的数据监控技术之后，就可以限制员工在工作需求之外访问数据，监控员工如何使用外部服务，甚至可以主动解决可能违反数据使用政策的行为。

第三个，建立机制来引导和改善员工的行为。机制是可重复使用的工具，允许我们随着时间的流失精确地驱动特定的行为。例如，当员工违规操作时，系统会通过如弹窗来提示员工，并建议使用特定的内部工具，并就相关问题进行报告。

第三阶段：企业利用生成式AI来对抗安全威胁

Steve Schmidt介绍如何用生成式AI来对抗安全威胁。

首先，生成式AI可以提高安全工程师的工作效率。通过构建自动响应流程，AI可以帮助安全团队优先处理发现的问题，并自动化事件响应。这种方法可以让安全团队将更多精力放在高价值任务上。

大型模型还有助于非技术管理人员在安全事件发生时快速理解情况。去年，亚马逊云科技推出了Amazon Detective，它使用生成式AI来生成安全事件的文字描述，安全工程师就不需要从头开始编写报告了，只需调整和确保描述的准确性即可。

Steve Schmidt认为，生成式AI可以帮助缓解网络安全人才短缺的问题，但并不认为AI会取代安全人员的工作。

他表示，生成式AI增强了人的能力，而不是替代人。生成式AI可以帮助安全人员更快更有效地识别和解决安全问题，消除安全工程师经常必须做的一些重复性工作，使他们能够更有效地完成其他工作。在他看来，世界上真正有技术的安全工程师是不够的。

Steve Schmidt表示，生成式AI让亚马逊能够雇佣更少的人来完成必要的工作。它可以帮助企业降低运营费用，但是，由于合适的人才很难找，所以，亚马逊一直在招聘安全人员，未来也会继续招聘安全人员。

结束语

总之，Steve Schmidt的分享让我们看到了生成式AI在提高企业网络安全方面的潜力。虽然安全挑战很多，但利用新的技术，企业可以不仅提高其安全防御能力，还可以优化资源分配和提升工作效率。可以认为，企业在安全工作方面，应该积极拥抱生成式AI。

亚马逊首席安全官：如何用生成式AI提高企业的安全水平？