盡管深知風(fēng)險，高管們?nèi)栽诜e極推動各種GenAI的部署和實(shí)驗(yàn)，而CISO們則被迫承擔(dān)起風(fēng)險管理的重任。

　　對于GenAI的潛力，高管的看法對許多CISO來說猶如迷人的海妖之歌。

　　根據(jù)NTT Data最近的一項(xiàng)調(diào)查，89%的高管“非常擔(dān)心與GenAI部署相關(guān)的潛在安全風(fēng)險”，但報告發(fā)現(xiàn)，這些同樣的高管認(rèn)為“GenAI的潛力和投資回報率超過了風(fēng)險”——這種情況可能讓CISO成為風(fēng)險管理理性聲音中的孤勇者。

　　而且，這可能已經(jīng)產(chǎn)生了負(fù)面影響，因?yàn)楦鶕?jù)調(diào)查，近一半的企業(yè)CISO“對GenAI持負(fù)面看法”，感到“壓力重重、受到威脅、不堪重負(fù)”。

　　這種沖突并不陌生，高管們向業(yè)務(wù)部門負(fù)責(zé)人施壓，要求他們采用新技術(shù)以提高效率并提升業(yè)績，但GenAI是一項(xiàng)風(fēng)險極高的業(yè)務(wù)——可以說比迄今為止的任何技術(shù)風(fēng)險都高，它會產(chǎn)生幻覺、繞過防護(hù)欄、危及合規(guī)性，并吞噬敏感的企業(yè)數(shù)據(jù)，而企業(yè)在未進(jìn)行適當(dāng)安全加固的情況下迅速接納它，同時受到供應(yīng)商推動，這些供應(yīng)商強(qiáng)調(diào)功能而非安全。

　　Moor Insights & Strategy的副總裁兼首席分析師Will Townsend表示：“這是蠻荒的西部，大量的AI應(yīng)用和大型語言模型選擇讓人難以審查哪些是安全的,還有一些應(yīng)用看似合法，實(shí)則是數(shù)據(jù)外泄和勒索軟件攻擊的陰謀。”“對數(shù)據(jù)泄露的擔(dān)憂是真實(shí)的，我們已經(jīng)看到這種情況發(fā)生，同時伴隨著通過提示注入攻擊引入惡意代碼。”

　　Townsend表示，CISO面臨的最棘手的GenAI問題之一是，許多GenAI供應(yīng)商在選擇用于訓(xùn)練模型的數(shù)據(jù)時過于隨意。“這會給企業(yè)帶來安全風(fēng)險。”

　　資深安全領(lǐng)導(dǎo)者Jim Routh曾在Mass Mutual、CVS、Aetna、KPMG、American Express和JP Morgan Chase擔(dān)任過CISO級別的職務(wù)，他表示，GenAI滲透到SaaS解決方案中使問題更加嚴(yán)重。

　　如今擔(dān)任安全供應(yīng)商Saviynt首席信任官的Routh表示：“GenAI的攻擊面已經(jīng)改變。過去是企業(yè)用戶使用最大供應(yīng)商提供的基礎(chǔ)模型。如今，數(shù)百個SaaS應(yīng)用程序嵌入了大型語言模型(LLM)，并在企業(yè)中廣泛使用，軟件工程師在HuggingFace.com上有超過100萬個開源LLM可供使用。”

　　Robert Taylor是一名專注于AI和網(wǎng)絡(luò)安全法律策略的律師，并在達(dá)拉斯的知識產(chǎn)權(quán)律師事務(wù)所Carstens, Allen & Gourley擔(dān)任法律顧問，他表示，他在各種規(guī)模的企業(yè)中各層級都看到了一個共同的主題。

　　Taylor說：“他們不知道自己不知道什么，至少CISO已經(jīng)準(zhǔn)備好考慮風(fēng)險，并對AI帶來的安全風(fēng)險有所了解，但AI帶來了許多新的安全風(fēng)險，他們正在努力應(yīng)對，有一些項(xiàng)目正在評估GenAI產(chǎn)生的多種類型的安全風(fēng)險，我聽說安全風(fēng)險類別數(shù)以百計，甚至遠(yuǎn)遠(yuǎn)超過一千種。”

　　Townsend推測，所有這些都可能對CISO的心理產(chǎn)生負(fù)面影響。“當(dāng)他們感到不堪重負(fù)時，他們就會放棄，”他說，“他們會做自己覺得能做的事，而忽略那些他們覺得無法控制的事。”

　　問題日益加劇

　　與此同時，在高管們不斷推進(jìn)的同時，讓他們的CISO因風(fēng)險而不堪重負(fù)，而攻擊者則在迅速行動。

　　Taylor表示：“不法分子正在狂熱地試圖以惡意方式利用這些新技術(shù)，因此CISO們有理由擔(dān)心這些新的GenAI解決方案和系統(tǒng)如何被利用。”“GenAI解決方案不是傳統(tǒng)的軟件和服務(wù)，它們有一些其他技術(shù)不必應(yīng)對的漏洞。”

　　Taylor認(rèn)為，更糟糕的是，與傳統(tǒng)技術(shù)風(fēng)險相比，GenAI的風(fēng)險更加無形且不斷變化。

　　Taylor說：“GenAI在部署后會繼續(xù)變化，這進(jìn)一步增加了安全風(fēng)險的機(jī)會，如提示注入、數(shù)據(jù)投毒以及從與GenAI共享的信息中提取機(jī)密信息或個人身份信息(PII)。”

　　Forrester的副總裁兼首席分析師Jeff Pollard指出，特別是提示安全，“如果企業(yè)有面向客戶或面向員工但影響客戶的提示，可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問或披露，那么提示安全就是立即且必要的。”

　　Pollard表示，而且這個問題很快就會變得更加嚴(yán)重。“重要的是現(xiàn)在就要學(xué)會如何保護(hù)這些，因?yàn)檫@是第一個可能在企業(yè)中廣泛部署的GenAI版本。具有主體性的AI很快就會到來——如果它還沒有到來的話，這將需要這些控制措施以及更多措施來確保正確安全。”