使用生成式 AI：解析生成式 AI 工具的网络安全影响

可以说，生成式 AI 已经引起了每个董事会议室和商业领袖的关注。曾经是一种难以掌握的边缘技术，多亏了诸如 ChatGPT 或 DALL-E 之类的应用，生成式 AI的大门现在已经被敞开。我们现在正在见证生成式 AI 在所有行业和年龄段的全面采用，员工正在找到方法将该技术用于自己的优势。

最近的一项 调查 表明，29% 的 Z 世代、28% 的 X 世代和 27% 的千禧一代受访者现在将生成式 AI 工具作为日常工作的一部分。在 2022 年，大规模生成式 AI 采用率为 23%，预计到 2025 年这一数字将增加到 46%。

生成式 AI 是一种快速演变的新兴技术，利用训练模型生成各种形式的原始内容，从书面文本和图像到视频、音乐，甚至软件代码。使用大型语言模型（LLMs）和大量数据集，该技术可以瞬间创建几乎无法区分于人类作品的独特内容，并且在许多情况下更准确、更有说服力。

然而，尽管企业越来越多地使用生成式 AI 来支持日常运营，员工也迅速接受了这一技术，但采用速度和缺乏监管却引发了重大的网络安全和监管合规问题。

根据对普通民众的一项 调查，超过 80% 的人担心 ChatGPT 和生成式 AI 所带来的安全风险，52% 的受访者希望生成式 AI 的开发暂停，以便监管能够跟上。这一更广泛的观点也得到了企业自身的回应，65% 的高级 IT 领导者 不愿意 因为安全问题而允许无限制地访问生成式 AI 工具。

生成式 AI 仍然是一个未知数

生成式 AI 工具依赖于数据。诸如 ChatGPT 和 DALL-E 之类的模型是在外部或互联网上自由可用的数据上训练的，但为了充分利用这些工具，用户需要共享非常具体的数据。通常，当提示工具如 ChatGPT 时，用户将共享敏感的商业信息，以获得准确、全面的结果。这为企业创造了很多未知数。未经授权的访问或意外泄露敏感信息的风险是“内置”的，当使用自由可用的生成式 AI 工具时。

这种风险本身并不是坏事。问题是这些风险尚未被充分探索。到目前为止，尚未对使用广泛可用的生成式 AI 工具进行真正的商业影响分析，全球关于生成式 AI 使用的法律和监管框架尚未达到任何形式的成熟。

监管仍然是一个工作进程

监管机构正在根据隐私、数据安全和生成数据的完整性来评估生成式 AI 工具。然而，正如往往与新兴技术相关的那样，支持和管理其使用的监管机构正落后几步。虽然该技术被公司和员工广泛使用，但监管框架仍然在起草中。

这为企业带来了明显的风险，这种风险目前尚未被认真对待。高管们自然对这些平台将如何带来物质上的商业利益（如自动化和增长的机会）感兴趣，但风险管理人员正在询问如何监管该技术、可能的法律影响以及公司数据可能如何被泄露或暴露。由于许多工具对任何具有浏览器和互联网连接的用户都是免费开放的，因此在等待监管跟上之前，企业需要仔细思考自己的“内部规则”关于生成式 AI 的使用。

CISO 在管理生成式 AI 中的作用

由于监管框架仍然缺乏，首席信息安全官（CISO）必须站出来在其组织内管理生成式 AI 的使用中发挥关键作用。他们需要了解谁正在使用该技术以及用于什么目的，如何在员工与生成式 AI 工具交互时保护企业信息，如何管理底层技术的安全风险，以及如何平衡安全权衡与该技术提供的价值。

这不是一项容易的任务。应进行详细的风险评估，以确定部署该技术的官方容量以及允许员工使用自由可用的工具而不受监督的结果的负面和正面结果。考虑到生成式 AI 应用的易访问性，CISO 需要仔细考虑公司关于其使用的政策。是否应该允许员工使用诸如 ChatGPT 或 DALL-E 之类的工具来使他们的工作更容易？或者是否应限制或以某种方式调节对这些工具的访问，并制定有关如何使用它们的内部指南和框架？一个明显的问题是，即使内部使用指南被创建，由于该技术的发展速度，到它们最终确定时可能已经过时。

解决这个问题的一种方法可能是将焦点从生成式 AI 工具本身转移到数据分类和保护上。数据分类一直是保护数据免受泄露或泄密的关键方面，在这种情况下也是如此。这涉及为数据分配一个敏感性级别，这决定了如何处理它。是否应该加密？是否应该阻止它？是否应该通知？谁应该可以访问它，允许在哪里共享？通过关注数据流动而不是工具本身，CISO 和安全官员将有更大的机会减轻一些提到的风险。

像所有新兴技术一样，生成式 AI 既是商业的福音，也是风险。虽然它提供了诸如自动化和创造性概念化等令人兴奋的新功能，但也引入了一些复杂的挑战，例如数据安全和知识产权的保护。虽然监管和法律框架仍在被制定时，企业必须在机会和风险之间找到平衡，实施反映其整体安全状况的政策控制。生成式 AI 将推动业务发展，但我们应该小心地掌握方向盘。