作者：Gartner研究總監(jiān) 趙宇   Gartner高級研究總監(jiān) 高峰
 
ChatGPT的熱烈炒作、廣泛使用和快速蔓延提升了最終用戶對LLM和GenAI的認(rèn)識，引發(fā)了一波商業(yè)實驗和AI初創(chuàng)企業(yè)的浪潮。2023年4月的Gartner網(wǎng)絡(luò)研討會發(fā)現(xiàn)，381名中國參會人員有70%已經(jīng)或計劃啟動GenAI項?，其中6%已在生產(chǎn)環(huán)境部署了GenAI，26%在試點GenAI，38%處于規(guī)劃階段。
 
CIO及其安全團(tuán)隊需要為GenAI的影響做好準(zhǔn)備，在以下四個方面采取措施：
1. 為構(gòu)建GenAI應(yīng)用提供安全保護(hù)：AI應(yīng)用攻擊面不斷擴(kuò)大，產(chǎn)生了新的潛在風(fēng)險，需要對現(xiàn)有應(yīng)用安全實踐進(jìn)行調(diào)整。
2. 管理和監(jiān)控使用GenAI的方式：各企業(yè)機(jī)構(gòu)正在探索如何使用嵌?現(xiàn)有應(yīng)用的GenAI助手，這些應(yīng)用都有獨特的安全要求，是傳統(tǒng)安全控制措施無法滿足的。
3. 利用生成式網(wǎng)絡(luò)安全AI進(jìn)行防御：有效抓住GenAI機(jī)遇，從而改善安全和風(fēng)險管理、 優(yōu)化資源、抵御新興攻擊技術(shù)，甚至降低成本。Gartner將生成式?絡(luò)安全AI定義為 GenAI技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用。
4. 為受到GenAI攻擊做好準(zhǔn)備：GenAI工具和技術(shù)不斷發(fā)展，各企業(yè)機(jī)構(gòu)必須適應(yīng)惡意行為者不斷發(fā)展的技術(shù)或新的攻擊向量。
 
圖1對此進(jìn)行了說明  
CIO及其安全團(tuán)隊不應(yīng)只是試圖跟上新技術(shù)發(fā)展的步伐，也需要規(guī)劃和建立一致而有效的AI安全治理計劃，以應(yīng)對GenAI采用激增的局面和各類新興場景。
AI安全治理項目應(yīng)整體覆蓋組織架構(gòu)、技術(shù)和政策。其早期任務(wù)之一就是制定所有構(gòu)建或部署AI的團(tuán)隊必須遵循的標(biāo)準(zhǔn)，包括安全AI開發(fā)、AI數(shù)據(jù)安全和AI安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)。中國CIO和安全團(tuán)隊?wèi)?yīng)與利益相關(guān)者和企業(yè)機(jī)構(gòu)領(lǐng)導(dǎo)者合作，制定五個階段的AI安全治理計劃（見表1）。

表1: AI安全治理項目的五個階段及主要行動

階段	主要行動
1.樹立意識	這一階段的關(guān)鍵是了解AI安全現(xiàn)狀。初步建立跨職能的指導(dǎo)委員會，可為確保所有利益相關(guān)者的參與打下基礎(chǔ)。 具體任務(wù)： 清點AI應(yīng)用和服務(wù) 了解威脅態(tài)勢 設(shè)立指導(dǎo)委員會，該委員會可以獨立運行，也可以是現(xiàn)有的AI指導(dǎo)委員會或網(wǎng)絡(luò)安全指導(dǎo)委員會的一部分
2.發(fā)現(xiàn)與維護(hù)	發(fā)現(xiàn)過程在這一階段真正開始。很多CIO發(fā)現(xiàn)，并沒有人在負(fù)責(zé)AI安全，也沒有人可以準(zhǔn)確地清點企業(yè)的全部AI應(yīng)用。 具體任務(wù)： 根據(jù)業(yè)務(wù)影響識別用例并進(jìn)行分類 識別相應(yīng)的攻擊面 進(jìn)行安全風(fēng)險評估 起草“負(fù)責(zé)、批準(zhǔn)、咨詢、告知（RACI）”矩陣，用于責(zé)任分配
3.彌補(bǔ)差距	在這一階段，安全漏洞被明顯摸清，為制定補(bǔ)救規(guī)劃奠定了基礎(chǔ)。使用第三方Gen AI應(yīng)用或與供應(yīng)商合作時，會明確定義選擇標(biāo)準(zhǔn)和流程。 具體任務(wù)： 制定用戶政策、培訓(xùn)和指南 定義廠商選擇流程和標(biāo)準(zhǔn) 更新RACI矩陣
4.集成	在這一階段，初步的關(guān)鍵網(wǎng)絡(luò)安全修復(fù)工作已經(jīng)完成，重點轉(zhuǎn)向持續(xù)監(jiān)控和長期管理 具體任務(wù)： 將AI保護(hù)集成到集中統(tǒng)一的安全控制措施中 定義指標(biāo) 加強(qiáng)指導(dǎo)委員會的參與和監(jiān)督 任命“安全大使”或“安全冠軍”
5.優(yōu)化	重點是優(yōu)化網(wǎng)絡(luò)安全工作，以實現(xiàn)業(yè)務(wù)韌性、運營差異化和增長。 具體任務(wù)： 培訓(xùn)安全和業(yè)務(wù)人員 建立跨職能實踐社區(qū)（CoP）和開展研討會 針對集中式安全工具，開放共享訪問并共同承擔(dān)責(zé)任