CISA 和NCSC 联合发布关于保护AI系统开发安全新指南
编译:代码卫士
上周日,美国网络安全和基础设施局 (CISA) 和英国国家网络安全中心 (NCSC) 发布关于保护AI 系统开发安全的新指南。
这些指南由23家国内外网络安全组织机构撰写,基于白宫正在开展的 AI 风险缓解投入和设计安全哲学。虽然指南提供了将安全构建到AI系统中的纲领,但并未对该行业设置任何法规,这与欧盟最近发布的AI法案是不同的。因此,AI企业可遵照或不遵照此指南。
Endor Labs 首席安全顾问兼CISA 网络创新员工 Chris Hughes 指出,“该行业不仅正在寻找很多善用 AI 的创新方式,而且也在寻找恶意方式。大家都认为AI将继续发展,而我们必须超越它,现在就构建以避免后续搞砸。”
CISA 和 NCSC 将这些新指南分为四大主要部分。
第一部分与安全设计有关,涵盖了潜在风险和威胁建模以及再改初始设计阶段要考虑的潜在平衡问题。
第二部分与安全开发有关,涵盖AI开发生命周期,包括供应链安全、文档以及资产和技术债务管理等。
第三部分为组织机构提供了如何安全部署的指南,避免攻陷、执行事件管理等。
最后一部分与AI赋能技术部署后的运营和维护有关,包括监控、记录、更新和信息分享等。
Hughes 解释称,“指南所做的并非重造轮子,我认为是CISA一直与设计安全系统和软件对话的继续。它仍然是趋势所在,将责任归咎于供应商和厂商身上并不仅仅是CISA的观点,NCSC也这么认为。”
6月份,欧盟以压倒性的优势通过了所谓的“AI法案”,推出针对AI行业信任和责任的新法律。
相比而言,CISA和NCSC 仅仅为依赖于AI的开发人员和企业提供了相关建议。Hughes 强调称,“这只是一项指南,只是一种建议。我认为文字中共用了51次‘应该’这个词。”为此,他承认指南产生的影响力可能不会和法规一样。他提到,“我们知道,安全确实是存在成本的,它有时可能导致事情进展缓慢或者引入摩擦。如果有快速上市、收入等刺激措施,那么人们倾向于不做未被要求做的事情。”
然而,这到底是好还是坏有待辩论。Hughes 补充道,“如果从客户和公民安全和隐私的角度来看,那么制定为法规是更好的。它强制关注隐私和安全的安全性、警告、治理和防护性。但同时,合规和法规措施毫无疑问可能是冗长且官僚,可能会阻碍初创颠覆性企业的发展,对创新造成影响。我希望一些软件供应商有这个准备并将其当作竞争优势。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。