AI賦能網絡安全帶來“雙刃劍”,專家:還需解決自身安全隱憂
南方財經全媒體記者卓皙雯 見習記者陳璐廣州報道
隨着人工智能快速發展,“AI+安全”已成爲網絡安全行業未來發展的關鍵方向。然而,AI的“無所不能”背後是否隱藏風險?近日,在2024年國家網絡安全宣傳週期間舉辦的網絡安全標準與產業促進座談會、粵港澳大灣區安全技術創新座談會等多場活動上,多位專家深度剖析了AI技術的雙刃劍效應:一方面,它能夠提升網絡防禦的智能化與自動化水平,另一方面,AI的內生風險、數據濫用、系統性崩潰等隱憂也逐漸浮現。如何構建更可靠的“AI+安全”之路,成爲當前網絡安全領域亟待解決的核心議題。
AI賦能網絡安全,帶來“雙刃劍”
網絡安全進入人工智能階段,“AI+安全”成爲網絡安全行業未來發展的方向。當前,AI技術在安全領域到底能夠解決哪些問題?應用到哪些場景?
天融信科技集團副總裁呂延輝表示,在大模型出現之後,人工智能對安全應用起到了提質增效的作用。比如,AI技術可發現一些隱藏、潛藏的惡意行爲,從而幫助安全人員快速甄別和定位網絡中的威脅源。若進一步溯源,AI技術可支撐安全分析人員快速拓建分析風險的畫像和App的追蹤行爲,增強安全監測能力。此外,基於大模型對於語義理解的顯著優勢,AI技術能夠發現沒有先驗知識或傳統規則支持的安全攻擊行爲。
在落地實踐中,人工智能賦能網絡安全工作價值已凸顯。聯通數字科技有限公司安全事業部CTO周凱介紹,在人工智能賦能網絡安全方向,聯通元景網絡安全大模型針對海量告警降噪、惡意檢測、攻擊事件研判等場景,提供安全諮詢、報警研判、報告生成、情報檢索等特色工具,迎合各種場景需求。截至目前,已在多個應用場景,包括安全問答、安全報告、報警研判、情報檢索等實現部署。
不過,周凱提到,一方面,AI技術應用極大提升了安全防禦的智能化與自動化,但另一方面,AI技術也促使網絡安全威脅升級,如釣魚攻擊、惡意軟件等變得更高效且強悍。
中國聯通廣州市分公司黨委書記、總經理楊連成也表示,AI賦能網絡安全已成爲關鍵環節,但帶來的“雙刃劍”也不容忽視,可能會帶來數據泄露、隱私侵犯及技術濫用等風險。楊連成建議,解決安全治理要構建更完善、高效、安全可控的生態環境,將安全理念融入到數據管理的全生命週期,制訂AI使用準則,完善數據監管體系。
在9月11日舉辦的網絡安全標準與產業促進座談會上,“數安標準強‘基’助‘力’行動計劃(DSEP)”正式啓動,該計劃由中國電子技術標準化研究院發起,依託數據安全和個人信息保護國家標準體系,打造基於標準的政、產、學、研、用深度融合平臺,將爲各行業領域、地方區域和組織機構築牢數據安全合規底線、提升數據安全能力提供標準化路徑。
AI自身安全隱憂正在浮現
“無所不能”的AI自身的安全隱憂正在浮現。中國工程院院士鄔賀銓認爲,人工智能本身有自身的不安全性,且更可能被濫用,因此要用各種辦法提高AI的可行性。
鄔賀銓指出,目前我國基本語料數據仍不足夠,不少AI模型的訓練數據由AI自行生成,這個過程中存在一定的隱患。如果在訓練中不加區別地使用這類內容,長此以往將出現“模型崩潰”效應。數據生成率過高會帶來隱患,完全靠AI生成的數據,會逐漸變形、出錯。反覆使用AI生成的數據,模型訓練就會失去效果,所以,需要重視數據的原生性。
螞蟻集團副總裁韋韜提到,大模型雖然被很多人認爲是無所不能的智能引擎,但實際上它的智能水平還不夠高,當各種信息、各種工具全都對接到大模型上,很容易形成一個安全單點,只要擊破大模型,整個信息工具都會被擊穿。如果所有信息和工具都依賴於大模型,那麼一旦大模型遭到攻擊,整個系統的安全性將面臨全面崩潰的風險。他舉例道,OpenAI曾經出現因漏洞被攻擊導致數據被刪除的事件,說明這種風險是真實存在的。
火山引擎安全研究部門負責人吳燁認爲,隨着大模型在手機、PC端以及車載設備等各類終端的廣泛應用,AI技術在提升用戶體驗的同時,也引發了一系列隱私保護和數據安全的風險。由於大模型通常部署在雲端,這就意味着終端設備上的用戶數據需要傳輸到雲端進行處理。這樣的數據跨域傳輸過程中,可能會面臨數據泄露、篡改等安全隱患,增加了用戶數據的安全風險。
中國網絡空間安全協會副理事長盧衛認爲,人工智能在衆多領域具備廣闊的使用前景,但自身也存在諸多缺陷與風險,需要先解決自身存在的問題,實現“我能”後,才能更好賦能網絡安全領域。
9月9日,在國家網絡安全宣傳週網絡安全技術高峰論壇主論壇暨粵港澳大灣區網絡安全大會上,全國網絡安全標準化技術委員會正式發佈《人工智能安全治理框架》1.0版,按照風險管理的理念,結合人工智能的技術特性,分析人工智能風險來源和表現形式,針對模型算法安全、數據安全和系統安全等內生安全風險和網絡域、現實域、認知域、倫理域等應用安全風險,提出了相應技術應對和綜合防治措施,以及人工智能安全開發應用指引。這將爲促進人工智能的健康發展和規範應用,提供基礎性、框架性技術指南。