查看原文
其他

CISA 和NCSC 联合发布关于保护AI系统开发安全新指南

Ionut Arghire 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



上周日,美国网络安全和基础设施局 (CISA) 和英国国家网络安全中心 (NCSC) 发布关于保护AI 系统开发安全的新指南。

这些指南由23家国内外网络安全组织机构撰写,基于白宫正在开展的 AI 风险缓解投入和设计安全哲学。虽然指南提供了将安全构建到AI系统中的纲领,但并未对该行业设置任何法规,这与欧盟最近发布的AI法案是不同的。因此,AI企业可遵照或不遵照此指南。

Endor Labs 首席安全顾问兼CISA 网络创新员工 Chris Hughes 指出,“该行业不仅正在寻找很多善用 AI 的创新方式,而且也在寻找恶意方式。大家都认为AI将继续发展,而我们必须超越它,现在就构建以避免后续搞砸。”


英美两国的AI新指南


CISA 和 NCSC 将这些新指南分为四大主要部分。

第一部分与安全设计有关,涵盖了潜在风险和威胁建模以及再改初始设计阶段要考虑的潜在平衡问题。

第二部分与安全开发有关,涵盖AI开发生命周期,包括供应链安全、文档以及资产和技术债务管理等。

第三部分为组织机构提供了如何安全部署的指南,避免攻陷、执行事件管理等。

最后一部分与AI赋能技术部署后的运营和维护有关,包括监控、记录、更新和信息分享等。

Hughes 解释称,“指南所做的并非重造轮子,我认为是CISA一直与设计安全系统和软件对话的继续。它仍然是趋势所在,将责任归咎于供应商和厂商身上并不仅仅是CISA的观点,NCSC也这么认为。”


法规:更宽松还是更严格?


6月份,欧盟以压倒性的优势通过了所谓的“AI法案”,推出针对AI行业信任和责任的新法律。

相比而言,CISA和NCSC 仅仅为依赖于AI的开发人员和企业提供了相关建议。Hughes 强调称,“这只是一项指南,只是一种建议。我认为文字中共用了51次‘应该’这个词。”为此,他承认指南产生的影响力可能不会和法规一样。他提到,“我们知道,安全确实是存在成本的,它有时可能导致事情进展缓慢或者引入摩擦。如果有快速上市、收入等刺激措施,那么人们倾向于不做未被要求做的事情。”

然而,这到底是好还是坏有待辩论。Hughes 补充道,“如果从客户和公民安全和隐私的角度来看,那么制定为法规是更好的。它强制关注隐私和安全的安全性、警告、治理和防护性。但同时,合规和法规措施毫无疑问可能是冗长且官僚,可能会阻碍初创颠覆性企业的发展,对创新造成影响。我希望一些软件供应商有这个准备并将其当作竞争优势。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

因担心安全风险,菲律宾军方禁用AI应用

谷歌发布漏洞奖励计划和其它举措,保护AI安全

因担心安全风险,菲律宾军方禁用AI应用

微软推出新的AI漏洞奖励计划,重在Bing用户体验

开源代码库 TorchServe 中存在多个严重漏洞,影响大量AI模型代码

NIST宣布成立生成式AI工作组



原文链接
https://www.darkreading.com/risk/cisa-ncsc-offer-roadmap-not-rules-new-secure-ai-guidelines

题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存