Các ứng dụng trí tuệ nhân tạo sáng tạo (AI) được xây dựng dựa trên các mô hình ngôn ngữ lớn (LLM) đã chứng tỏ tiềm năng tạo ra và tăng tốc giá trị kinh tế cho doanh nghiệp. Ví dụ về các ứng dụng bao gồm tìm kiếm đàm thoại, hỗ trợ đại lý hỗ trợ khách hàng, phân tích hỗ trợ khách hàng, trợ lý ảo tự phục vụ, chatbot, thế hệ đa phương tiện, kiểm duyệt nội dung, đồng hành mã hóa để tăng tốc độ phát triển phần mềm an toàn, hiệu suất cao, hiểu biết sâu sắc hơn từ các nguồn nội dung đa phương thức, tăng tốc các cuộc điều tra và giảm thiểu bảo mật của tổ chức của bạn, và nhiều hơn nữa. Nhiều khách hàng đang tìm kiếm hướng dẫn về cách quản lý bảo mật, quyền riêng tư và tuân thủ khi họ phát triển các ứng dụng AI tổng hợp. Việc hiểu và giải quyết các lỗ hổng, mối đe dọa và rủi ro LLM trong giai đoạn thiết kế và kiến ​​trúc giúp các nhóm tập trung vào việc tối đa hóa lợi ích kinh tế và năng suất mà AI tạo ra có thể mang lại. Nhận thức được rủi ro sẽ thúc đẩy tính minh bạch và niềm tin vào các ứng dụng AI tổng hợp, khuyến khích tăng khả năng quan sát, giúp đáp ứng các yêu cầu tuân thủ và tạo điều kiện cho các nhà lãnh đạo đưa ra quyết định sáng suốt.

Mục tiêu của bài đăng này là trao quyền cho các kỹ sư AI và máy học (ML), nhà khoa học dữ liệu, kiến ​​trúc sư giải pháp, nhóm bảo mật và các bên liên quan khác có một mô hình và khuôn khổ chung để áp dụng các phương pháp hay nhất về bảo mật, cho phép các nhóm AI/ML phát triển nhanh chóng mà không đánh đổi bảo mật lấy tốc độ. Cụ thể, bài đăng này nhằm mục đích giúp AI/ML và các nhà khoa học dữ liệu, những người có thể chưa từng tiếp xúc với các nguyên tắc bảo mật trước đây, hiểu rõ về các biện pháp thực hành tốt nhất về bảo mật và quyền riêng tư cốt lõi trong bối cảnh phát triển các ứng dụng AI tổng quát sử dụng LLM. Chúng tôi cũng thảo luận về những lo ngại chung về bảo mật có thể làm suy yếu niềm tin vào AI, như đã được xác định bởi Dự án bảo mật ứng dụng toàn cầu mở (OWASP) Top 10 cho các ứng dụng LLMvà chỉ ra những cách bạn có thể sử dụng AWS để tăng cường mức độ bảo mật và sự tự tin trong khi đổi mới với AI tổng hợp.

Bài đăng này cung cấp ba bước được hướng dẫn để xây dựng chiến lược quản lý rủi ro trong khi phát triển các ứng dụng AI tổng quát bằng cách sử dụng LLM. Trước tiên, chúng tôi đi sâu vào các lỗ hổng, mối đe dọa và rủi ro phát sinh từ việc triển khai, triển khai và sử dụng các giải pháp LLM, đồng thời cung cấp hướng dẫn về cách bắt đầu đổi mới chú trọng đến vấn đề bảo mật. Sau đó, chúng tôi thảo luận về tầm quan trọng của việc xây dựng trên nền tảng an toàn đối với AI sáng tạo. Cuối cùng, chúng tôi kết nối những điều này với nhau bằng một khối lượng công việc LLM mẫu để mô tả cách tiếp cận hướng tới việc xây dựng kiến ​​trúc với mức độ bảo mật chuyên sâu xuyên suốt các ranh giới tin cậy.

Đến cuối bài viết này, Các kỹ sư AI/ML, nhà khoa học dữ liệu và nhà công nghệ quan tâm đến bảo mật sẽ có thể xác định các chiến lược để kiến ​​trúc hệ thống phòng thủ theo lớp cho các ứng dụng AI tổng quát của họ, hiểu cách ánh xạ Top 10 OWASP cho các mối lo ngại về bảo mật của LLM vào một số biện pháp kiểm soát tương ứng và xây dựng kiến ​​thức nền tảng hướng tới trả lời các chủ đề câu hỏi hàng đầu của khách hàng AWS sau đây cho ứng dụng của họ:

• Một số rủi ro phổ biến về bảo mật và quyền riêng tư khi sử dụng AI tổng hợp dựa trên LLM trong ứng dụng của tôi mà tôi có thể tác động nhiều nhất với hướng dẫn này là gì?
• Một số cách để triển khai các biện pháp kiểm soát bảo mật và quyền riêng tư trong vòng đời phát triển cho các ứng dụng AI LLM tổng hợp trên AWS là gì?
• Tôi có thể tích hợp những phương pháp hay nhất về mặt kỹ thuật và vận hành nào vào cách tổ chức của mình xây dựng các ứng dụng AI LLM tổng quát để quản lý rủi ro và tăng độ tin cậy trong các ứng dụng AI tổng quát sử dụng LLM?

Cải thiện kết quả bảo mật trong khi phát triển AI tổng quát

Sự đổi mới với AI tổng hợp sử dụng LLM đòi hỏi phải bắt đầu từ vấn đề bảo mật để phát triển khả năng phục hồi của tổ chức, xây dựng trên nền tảng an toàn và tích hợp bảo mật với phương pháp bảo mật chuyên sâu. An ninh là một chia sẻ trách nhiệm giữa khách hàng AWS và AWS. Tất cả các nguyên tắc của Mô hình trách nhiệm chung của AWS đều có thể áp dụng cho các giải pháp AI mang tính sáng tạo. Làm mới hiểu biết của bạn về Mô hình trách nhiệm chung của AWS khi áp dụng cho cơ sở hạ tầng, dịch vụ và dữ liệu khi bạn xây dựng giải pháp LLM.

Bắt đầu chú ý đến vấn đề bảo mật để phát triển khả năng phục hồi của tổ chức

Hãy bắt đầu chú ý đến vấn đề bảo mật để phát triển khả năng phục hồi của tổ chức nhằm phát triển các ứng dụng AI tổng quát đáp ứng các mục tiêu về bảo mật và tuân thủ của bạn. Khả năng phục hồi của tổ chức thu hút và mở rộng định nghĩa về khả năng phục hồi trong Khung kiến ​​trúc tối ưu AWS để bao gồm và chuẩn bị cho khả năng của một tổ chức để phục hồi sau những gián đoạn. Hãy xem xét tư thế bảo mật, quản trị và hoạt động xuất sắc của bạn khi đánh giá mức độ sẵn sàng tổng thể để phát triển AI tổng hợp với LLM và khả năng phục hồi của tổ chức trước mọi tác động tiềm ẩn. Khi tổ chức của bạn nâng cao việc sử dụng các công nghệ mới nổi như AI và LLM tổng thể, khả năng phục hồi tổng thể của tổ chức phải được coi là nền tảng của chiến lược phòng thủ nhiều lớp để bảo vệ tài sản và ngành nghề kinh doanh khỏi những hậu quả không lường trước được.

Khả năng phục hồi của tổ chức đóng vai trò quan trọng đối với các ứng dụng LLM

Mặc dù tất cả các chương trình quản lý rủi ro đều có thể được hưởng lợi từ khả năng phục hồi, nhưng khả năng phục hồi của tổ chức rất quan trọng đối với AI sáng tạo. Năm trong số 10 rủi ro hàng đầu được OWASP xác định đối với các ứng dụng LLM dựa vào việc xác định các biện pháp kiểm soát hoạt động và kiến ​​trúc cũng như thực thi chúng ở quy mô tổ chức để quản lý rủi ro. Năm rủi ro này là xử lý đầu ra không an toàn, lỗ hổng trong chuỗi cung ứng, tiết lộ thông tin nhạy cảm, đại diện quá mức và phụ thuộc quá mức. Bắt đầu tăng khả năng phục hồi của tổ chức bằng cách xã hội hóa các nhóm của bạn để coi bảo mật AI, ML và AI tổng quát là một yêu cầu kinh doanh cốt lõi và ưu tiên hàng đầu trong toàn bộ vòng đời của sản phẩm, từ khi bắt đầu ý tưởng, nghiên cứu, đến phát triển, triển khai và quản lý ứng dụng. sử dụng. Ngoài nhận thức, các nhóm của bạn nên hành động để giải thích về AI tổng quát trong các hoạt động quản trị, đảm bảo và xác thực tuân thủ.

Xây dựng khả năng phục hồi của tổ chức xung quanh AI sáng tạo

Các tổ chức có thể bắt đầu áp dụng các cách để xây dựng năng lực và khả năng về AI/ML và bảo mật AI tổng quát trong tổ chức của mình. Bạn nên bắt đầu bằng cách mở rộng các chương trình bảo mật, đảm bảo, tuân thủ và phát triển hiện có của mình để giải quyết vấn đề AI tổng hợp.

Sau đây là năm lĩnh vực quan tâm chính đối với bảo mật AI, ML và AI tổng quát của tổ chức:

• Hiểu bối cảnh bảo mật AI/ML
• Bao gồm các quan điểm đa dạng trong chiến lược bảo mật
• Chủ động hành động để đảm bảo hoạt động nghiên cứu và phát triển
• Điều chỉnh các biện pháp khuyến khích phù hợp với kết quả của tổ chức
• Chuẩn bị cho các tình huống bảo mật thực tế trong AI/ML và AI tổng hợp

Phát triển mô hình mối đe dọa trong suốt Vòng đời AI tổng quát của bạn

Các tổ chức xây dựng AI tổng quát nên tập trung vào quản lý rủi ro chứ không phải loại bỏ rủi ro và bao gồm mô hình mối đe dọa trong va kế hoạch kinh doanh liên tục việc lập kế hoạch, phát triển và vận hành khối lượng công việc AI tổng hợp. Làm ngược lại việc sử dụng AI tổng hợp trong sản xuất bằng cách phát triển mô hình mối đe dọa cho từng ứng dụng bằng cách sử dụng các rủi ro bảo mật truyền thống cũng như các rủi ro tổng hợp dành riêng cho AI. Một số rủi ro có thể được doanh nghiệp của bạn chấp nhận và việc thực hiện mô hình hóa mối đe dọa có thể giúp công ty của bạn xác định mức độ chấp nhận rủi ro của bạn. Ví dụ: doanh nghiệp của bạn có thể không yêu cầu 99.999% thời gian hoạt động trên ứng dụng AI tổng hợp, do đó, thời gian khôi phục bổ sung liên quan đến việc khôi phục bằng cách sử dụng Sao lưu AWS với Sông băng Amazon S3 có thể là một rủi ro có thể chấp nhận được. Ngược lại, dữ liệu trong mô hình của bạn có thể cực kỳ nhạy cảm và được quản lý chặt chẽ, do đó, độ lệch khỏi Dịch vụ quản lý khóa AWS (AWS KMS) khóa do khách hàng quản lý (CMK) xoay và sử dụng Tường lửa mạng AWS để giúp thực thi Bảo mật lớp vận chuyển (TLS) cho lưu lượng truy cập vào và ra nhằm bảo vệ chống rò rỉ dữ liệu có thể là một rủi ro không thể chấp nhận được.

Đánh giá các rủi ro (vốn có và còn sót lại) của việc sử dụng ứng dụng AI tổng quát trong môi trường sản xuất để xác định các biện pháp kiểm soát cơ bản và cấp ứng dụng phù hợp. Lập kế hoạch khôi phục và khôi phục từ các sự kiện bảo mật sản xuất và gián đoạn dịch vụ như chèn nhanh, nhiễm độc dữ liệu đào tạo, từ chối dịch vụ mô hình và đánh cắp mô hình từ sớm, đồng thời xác định các biện pháp giảm nhẹ mà bạn sẽ sử dụng khi xác định các yêu cầu ứng dụng. Tìm hiểu về các rủi ro và biện pháp kiểm soát cần được áp dụng sẽ giúp xác định phương pháp triển khai tốt nhất để xây dựng ứng dụng AI tổng hợp, đồng thời cung cấp cho các bên liên quan và người ra quyết định thông tin để đưa ra quyết định kinh doanh sáng suốt về rủi ro. Nếu bạn không quen với quy trình làm việc AI và ML tổng thể, hãy bắt đầu bằng cách xem lại 7 cách để cải thiện tính bảo mật cho khối lượng công việc học máy của bạn để tăng cường sự quen thuộc với các biện pháp kiểm soát bảo mật cần thiết cho các hệ thống AI/ML truyền thống.

Cũng giống như xây dựng bất kỳ ứng dụng ML nào, việc xây dựng một ứng dụng AI tổng quát bao gồm việc trải qua một loạt các giai đoạn trong vòng đời nghiên cứu và phát triển. Bạn có thể muốn xem lại Ma trận phạm vi bảo mật AI sáng tạo của AWS để giúp xây dựng một mô hình tinh thần để hiểu các nguyên tắc bảo mật chính mà bạn nên xem xét tùy thuộc vào giải pháp AI tổng quát mà bạn chọn.

Các ứng dụng AI sáng tạo sử dụng LLM thường được phát triển và vận hành theo các bước được sắp xếp theo thứ tự:

• Yêu cầu ứng dụng – Xác định mục tiêu, yêu cầu và tiêu chí thành công của ca sử dụng
• Lựa chọn mô hình – Chọn mô hình nền tảng phù hợp với yêu cầu ca sử dụng
• Thích ứng và tinh chỉnh mô hình – Chuẩn bị dữ liệu, nhắc nhở kỹ sư và tinh chỉnh mô hình
• Đánh giá mô hình – Đánh giá các mô hình nền tảng bằng các số liệu dành riêng cho từng trường hợp sử dụng và chọn mô hình hoạt động tốt nhất
• Triển khai và tích hợp – Triển khai mô hình nền tảng đã chọn trên cơ sở hạ tầng được tối ưu hóa của bạn và tích hợp với ứng dụng AI tổng hợp của bạn
• Giám sát ứng dụng – Giám sát hiệu suất ứng dụng và mô hình để cho phép phân tích nguyên nhân gốc rễ

Đảm bảo các nhóm hiểu được bản chất quan trọng của bảo mật như một phần của giai đoạn thiết kế và kiến ​​trúc trong vòng đời phát triển phần mềm của bạn vào Ngày 1. Điều này có nghĩa là thảo luận về bảo mật ở từng lớp trong ngăn xếp và vòng đời của bạn, đồng thời coi bảo mật và quyền riêng tư là yếu tố hỗ trợ để đạt được các mục tiêu kinh doanh. Kiến trúc sư kiểm soát các mối đe dọa trước khi bạn khởi chạy ứng dụng LLM của mình và xem xét liệu dữ liệu và thông tin bạn sẽ sử dụng để đảm bảo điều chỉnh mô hình và tinh chỉnh có kiểm soát việc triển khai trong môi trường nghiên cứu, phát triển và đào tạo hay không. Là một phần của kiểm tra đảm bảo chất lượng, hãy đưa ra các mối đe dọa bảo mật tổng hợp (chẳng hạn như cố gắng đầu độc dữ liệu đào tạo hoặc cố gắng trích xuất dữ liệu nhạy cảm thông qua kỹ thuật nhắc nhở độc hại) để kiểm tra khả năng phòng thủ và tư thế bảo mật của bạn một cách thường xuyên.

Ngoài ra, các bên liên quan nên thiết lập nhịp đánh giá nhất quán đối với khối lượng công việc AI, ML và AI tổng hợp trong sản xuất, đồng thời đặt mức độ ưu tiên của tổ chức trong việc tìm hiểu sự cân bằng giữa khả năng kiểm soát và lỗi của con người và máy trước khi ra mắt. Việc xác thực và đảm bảo rằng những sự đánh đổi này được tôn trọng trong các ứng dụng LLM đã triển khai sẽ làm tăng khả năng thành công trong việc giảm thiểu rủi ro.

Xây dựng các ứng dụng AI tổng quát trên nền tảng đám mây an toàn

Tại AWS, bảo mật là ưu tiên hàng đầu của chúng tôi. AWS được thiết kế để trở thành cơ sở hạ tầng đám mây toàn cầu an toàn nhất để xây dựng, di chuyển và quản lý ứng dụng cũng như khối lượng công việc. Điều này được hỗ trợ bởi bộ hơn 300 công cụ bảo mật đám mây chuyên sâu của chúng tôi và sự tin tưởng của hàng triệu khách hàng, bao gồm cả các tổ chức nhạy cảm nhất về bảo mật như chính phủ, dịch vụ chăm sóc sức khỏe và dịch vụ tài chính. Khi xây dựng các ứng dụng AI tổng quát sử dụng LLM trên AWS, bạn sẽ nhận được lợi ích bảo mật từ môi trường điện toán đám mây AWS an toàn, đáng tin cậy và linh hoạt.

Sử dụng cơ sở hạ tầng toàn cầu của AWS để bảo mật, quyền riêng tư và tuân thủ

Khi phát triển các ứng dụng sử dụng nhiều dữ liệu trên AWS, bạn có thể hưởng lợi từ cơ sở hạ tầng Khu vực toàn cầu của AWS, được thiết kế để cung cấp khả năng đáp ứng các yêu cầu tuân thủ và bảo mật cốt lõi của bạn. Điều này được củng cố bởi chúng tôi Cam kết về chủ quyền kỹ thuật số của AWS, cam kết của chúng tôi là cung cấp cho bạn bộ tính năng và kiểm soát chủ quyền tiên tiến nhất hiện có trên đám mây. Chúng tôi cam kết mở rộng khả năng của mình để cho phép bạn đáp ứng chủ quyền kỹ thuật số nhu cầu mà không ảnh hưởng đến hiệu suất, sự đổi mới, bảo mật hoặc quy mô của Đám mây AWS. Để đơn giản hóa việc triển khai các phương pháp hay nhất về bảo mật và quyền riêng tư, hãy cân nhắc sử dụng các thiết kế và cơ sở hạ tầng tham chiếu làm tài nguyên mã, chẳng hạn như Kiến trúc tham chiếu bảo mật AWS (AWS SRA) và Kiến trúc tham chiếu quyền riêng tư của AWS (AWS PRA). Đọc thêm về kiến trúc các giải pháp bảo mật, chủ quyền theo thiết kếvà tuân thủ trên AWS và sử dụng các dịch vụ như Cấu hình AWS, Vật phẩm AWSvà Giám đốc kiểm tra AWS để hỗ trợ các nhu cầu về quyền riêng tư, tuân thủ, kiểm tra và khả năng quan sát của bạn.

Hiểu tình hình bảo mật của bạn bằng cách sử dụng Khung áp dụng đám mây và kiến ​​trúc tối ưu AWS

AWS cung cấp hướng dẫn thực hành tốt nhất được phát triển từ nhiều năm kinh nghiệm hỗ trợ khách hàng trong việc kiến ​​trúc môi trường đám mây của họ bằng Khung được kiến ​​trúc tốt của AWS và phát triển để hiện thực hóa giá trị kinh doanh từ công nghệ đám mây với Khung áp dụng đám mây AWS (AWS CAF). Hiểu trạng thái bảo mật của khối lượng công việc AI, ML và AI tổng quát của bạn bằng cách thực hiện đánh giá Khung kiến ​​trúc tối ưu. Đánh giá có thể được thực hiện bằng cách sử dụng các công cụ như Công cụ được kiến ​​trúc tốt AWShoặc với sự trợ giúp của nhóm AWS của bạn thông qua Hỗ trợ doanh nghiệp AWS. Công cụ kiến ​​trúc tối ưu AWS tự động tích hợp thông tin chuyên sâu từ Cố vấn đáng tin cậy của AWS để đánh giá những biện pháp thực hành tốt nhất hiện có và những cơ hội hiện có để cải thiện chức năng và tối ưu hóa chi phí. Công cụ kiến ​​trúc tối ưu AWS cũng cung cấp các ống kính tùy chỉnh với các phương pháp thực hành tốt nhất cụ thể như Ống kính học máy để bạn thường xuyên đo lường kiến ​​trúc của mình dựa trên các phương pháp thực hành tốt nhất và xác định các lĩnh vực cần cải thiện. Kiểm tra hành trình của bạn trên con đường hiện thực hóa giá trị và sự trưởng thành của đám mây bằng cách hiểu cách khách hàng AWS áp dụng các chiến lược để phát triển năng lực tổ chức trong Khung áp dụng đám mây AWS dành cho trí tuệ nhân tạo, máy học và AI sáng tạo. Bạn cũng có thể thấy được lợi ích khi hiểu rõ mức độ sẵn sàng tổng thể của đám mây bằng cách tham gia vào một Đánh giá mức độ sẵn sàng của đám mây AWS. AWS cung cấp thêm cơ hội tương tác—hãy hỏi nhóm tài khoản AWS của bạn để biết thêm thông tin về cách bắt đầu với Trung tâm đổi mới AI sáng tạo.

Tăng tốc độ bảo mật và học tập AI/ML của bạn với hướng dẫn, chương trình đào tạo và chứng nhận về các phương pháp hay nhất

AWS cũng tuyển chọn các đề xuất từ Các phương pháp hay nhất để bảo mật, nhận dạng và tuân thủ và Tài liệu bảo mật AWS để giúp bạn xác định các cách bảo đảm môi trường đào tạo, phát triển, thử nghiệm và hoạt động của mình. Nếu bạn mới bắt đầu, hãy tìm hiểu sâu hơn về đào tạo và chứng nhận bảo mật, hãy cân nhắc bắt đầu với Các nguyên tắc cơ bản về bảo mật AWS và Kế hoạch học tập về bảo mật AWS. Bạn cũng có thể sử dụng Mô hình trưởng thành bảo mật AWS để giúp hướng dẫn bạn tìm và sắp xếp thứ tự ưu tiên cho các hoạt động tốt nhất ở các giai đoạn trưởng thành khác nhau trên AWS, bắt đầu bằng những chiến thắng nhanh chóng, thông qua các giai đoạn nền tảng, hiệu quả và được tối ưu hóa. Sau khi bạn và nhóm của bạn có hiểu biết cơ bản về bảo mật trên AWS, chúng tôi thực sự khuyên bạn nên xem lại Cách tiếp cận mô hình mối đe dọa và sau đó hướng dẫn nhóm của bạn thực hiện một bài tập lập mô hình mối đe dọa, bắt đầu bằng Hội thảo về mô hình hóa mối đe dọa dành cho nhà xây dựng chương trình đào tạo. Có nhiều thứ khác Tài nguyên đào tạo và chứng nhận bảo mật AWS có sẵn.

Áp dụng phương pháp phòng thủ chuyên sâu để bảo mật các ứng dụng LLM

Việc áp dụng phương pháp bảo mật chuyên sâu về phòng thủ cho khối lượng công việc, dữ liệu và thông tin AI tổng quát của bạn có thể giúp tạo điều kiện tốt nhất để đạt được các mục tiêu kinh doanh của bạn. Các phương pháp hay nhất về bảo mật chuyên sâu giúp giảm thiểu nhiều rủi ro phổ biến mà mọi khối lượng công việc phải đối mặt, giúp bạn và nhóm của bạn đẩy nhanh quá trình đổi mới AI tổng thể của mình. Chiến lược bảo mật chuyên sâu sử dụng nhiều biện pháp bảo vệ dự phòng để bảo vệ tài khoản, khối lượng công việc, dữ liệu và tài sản AWS của bạn. Nó giúp đảm bảo rằng nếu bất kỳ biện pháp kiểm soát bảo mật nào bị xâm phạm hoặc không thành công thì các lớp bổ sung sẽ tồn tại để giúp cách ly các mối đe dọa cũng như ngăn chặn, phát hiện, phản hồi và khôi phục sau các sự kiện bảo mật. Bạn có thể sử dụng kết hợp các chiến lược, bao gồm các dịch vụ và giải pháp AWS, ở mỗi lớp để cải thiện tính bảo mật và khả năng phục hồi của khối lượng công việc AI tổng hợp của bạn.

Nhiều khách hàng của AWS tuân thủ các khuôn khổ tiêu chuẩn ngành, chẳng hạn như Khung bảo mật mạng NIST. Khung này giúp đảm bảo rằng các biện pháp bảo vệ an ninh của bạn được bảo vệ trên các trụ cột Xác định, Bảo vệ, Phát hiện, Phản hồi, Khôi phục và được bổ sung gần đây nhất là Quản trị. Sau đó, khung này có thể dễ dàng ánh xạ tới các dịch vụ AWS Security và các dịch vụ từ bên thứ ba tích hợp để giúp bạn xác thực phạm vi và chính sách đầy đủ cho mọi sự kiện bảo mật mà tổ chức của bạn gặp phải.

Bảo vệ theo chiều sâu: Bảo vệ môi trường của bạn, sau đó bổ sung các khả năng bảo mật và quyền riêng tư dành riêng cho AI/ML nâng cao

Chiến lược bảo vệ chuyên sâu nên bắt đầu bằng cách bảo vệ tài khoản và tổ chức của bạn trước tiên, sau đó áp dụng các tính năng nâng cao bảo mật và quyền riêng tư tích hợp bổ sung của các dịch vụ như nền tảng Amazon và Amazon SageMaker. Amazon có hơn 30 dịch vụ trong danh mục Bảo mật, Nhận dạng và Tuân thủ được tích hợp với các dịch vụ AI/ML của AWS và có thể được sử dụng cùng nhau để giúp bảo mật khối lượng công việc, tài khoản, tổ chức của bạn. Để bảo vệ đúng cách trước Top 10 OWASP dành cho LLM, những dịch vụ này phải được sử dụng cùng với các dịch vụ AI/ML của AWS.

Bắt đầu bằng cách triển khai chính sách đặc quyền tối thiểu, sử dụng các dịch vụ như Trình phân tích truy cập IAM đến tìm kiếm các tài khoản, vai trò và tài nguyên quá dễ dãi để hạn chế quyền truy cập bằng thông tin xác thực ngắn hạn. Tiếp theo, hãy đảm bảo rằng tất cả dữ liệu ở trạng thái lưu trữ đều được mã hóa bằng AWS KMS, bao gồm cả việc xem xét việc sử dụng CMK, đồng thời tất cả dữ liệu và mô hình đều được lập phiên bản và sao lưu bằng cách sử dụng Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) lập phiên bản và áp dụng tính bất biến ở cấp độ đối tượng với Khóa đối tượng Amazon S3. Bảo vệ tất cả dữ liệu khi truyền giữa các dịch vụ bằng cách sử dụng Trình quản lý chứng chỉ AWS và / hoặc CA riêng của AWSvà giữ nó trong VPC bằng cách sử dụng Liên kết riêng AWS. Xác định các quy tắc vào và ra dữ liệu nghiêm ngặt để giúp bảo vệ chống thao túng và trích xuất dữ liệu bằng cách sử dụng VPC với Tường lửa mạng AWS chính sách. Xem xét việc chèn Tường lửa ứng dụng web AWS (AWS WAF) ở phía trước để bảo vệ các ứng dụng web và API từ bot độc hại, Tấn công tiêm nhiễm SQL, kịch bản chéo trang (XSS), và tiếp quản tài khoản với Kiểm soát gian lận. Đăng nhập với Đường mòn đám mây AWS, Đám mây riêng ảo Amazon nhật ký luồng (Amazon VPC) và Dịch vụ Kubernetes đàn hồi của Amazon Nhật ký kiểm tra (Amazon EKS) sẽ giúp cung cấp đánh giá pháp lý về từng giao dịch có sẵn cho các dịch vụ như Thám tử Amazon. Bạn có thể sử dụng Thanh tra Amazon để tự động hóa việc phát hiện và quản lý lỗ hổng cho Đám mây điện toán đàn hồi Amazon (Amazon EC2) phiên bản, bộ chứa, AWS Lambda chức năng và xác định khả năng tiếp cận mạng của khối lượng công việc của bạn. Bảo vệ dữ liệu và mô hình của bạn khỏi hoạt động đáng ngờ bằng cách sử dụng nhiệm vụ bảo vệ amazoncác mô hình mối đe dọa và nguồn cấp dữ liệu thông minh được hỗ trợ bởi ML của nó, đồng thời kích hoạt các tính năng bổ sung của nó cho Bảo vệ EKS, Bảo vệ ECS, Bảo vệ S3, Bảo vệ RDS, Bảo vệ phần mềm độc hại, Bảo vệ Lambda, v.v. Bạn có thể sử dụng các dịch vụ như Trung tâm bảo mật AWS để tập trung và tự động hóa các hoạt động kiểm tra bảo mật nhằm phát hiện những sai lệch so với các phương pháp bảo mật tốt nhất, đồng thời đẩy nhanh quá trình điều tra và tự động hóa việc khắc phục các phát hiện bảo mật bằng sổ tay. Bạn cũng có thể xem xét triển khai một không tin tưởng kiến trúc trên AWS để tăng cường hơn nữa các biện pháp kiểm soát xác thực và ủy quyền chi tiết đối với những gì người dùng con người hoặc quy trình giữa các máy có thể truy cập trên cơ sở theo yêu cầu. Cũng xem xét việc sử dụng Hồ bảo mật Amazon để tự động tập trung dữ liệu bảo mật từ môi trường AWS, nhà cung cấp SaaS, tại cơ sở và nguồn đám mây vào hồ dữ liệu chuyên dụng được lưu trữ trong tài khoản của bạn. Với Security Lake, bạn có thể hiểu rõ hơn về dữ liệu bảo mật trên toàn bộ tổ chức của mình.

Sau khi môi trường khối lượng công việc AI tổng quát của bạn đã được bảo mật, bạn có thể xếp lớp các tính năng dành riêng cho AI/ML, chẳng hạn như Trình sắp xếp dữ liệu Amazon SageMaker để xác định những sai lệch tiềm ẩn trong quá trình chuẩn bị dữ liệu và Làm rõ Amazon SageMaker để phát hiện sai lệch trong dữ liệu và mô hình ML. Bạn cũng có thể dùng Giám sát mô hình Amazon SageMaker để đánh giá chất lượng của các mô hình SageMaker ML trong quá trình sản xuất và thông báo cho bạn khi có sự thay đổi về chất lượng dữ liệu, chất lượng mô hình và phân bổ tính năng. Các dịch vụ AWS AI/ML này hoạt động cùng nhau (bao gồm cả SageMaker hoạt động với Amazon Bedrock) với các dịch vụ AWS Security có thể giúp bạn xác định các nguồn sai lệch tự nhiên tiềm ẩn và bảo vệ khỏi việc giả mạo dữ liệu độc hại. Lặp lại quy trình này cho từng lỗ hổng trong số 10 lỗ hổng LLM hàng đầu của OWASP để đảm bảo bạn đang tối đa hóa giá trị của các dịch vụ AWS nhằm triển khai biện pháp bảo vệ chuyên sâu nhằm bảo vệ dữ liệu và khối lượng công việc của bạn.

Như Nhà chiến lược doanh nghiệp AWS Clarke Rodgers đã viết trong bài đăng trên blog của mình “CISO Insight: Mọi dịch vụ AWS đều là dịch vụ bảo mật”, “Tôi cho rằng hầu như mọi dịch vụ trong đám mây AWS đều tự mang lại kết quả bảo mật hoặc có thể được khách hàng sử dụng (riêng lẻ hoặc kết hợp với một hoặc nhiều dịch vụ) để đạt được mục tiêu bảo mật, rủi ro hoặc tuân thủ.” Và “Giám đốc an ninh thông tin khách hàng (CISO) (hoặc nhóm tương ứng của họ) có thể muốn dành thời gian để đảm bảo rằng họ thông thạo tất cả các dịch vụ AWS vì có thể đáp ứng được mục tiêu bảo mật, rủi ro hoặc tuân thủ, ngay cả khi dịch vụ không thuộc danh mục 'Bảo mật, Nhận dạng và Tuân thủ'.”

Phòng thủ lớp tại ranh giới tin cậy trong các ứng dụng LLM

Khi phát triển các hệ thống và ứng dụng dựa trên AI tổng quát, bạn nên xem xét các mối quan tâm tương tự như với bất kỳ ứng dụng ML nào khác, như đã đề cập trong phần Ma trận mối đe dọa học máy MITRE ATLAS, chẳng hạn như lưu ý đến nguồn gốc của phần mềm và thành phần dữ liệu (chẳng hạn như thực hiện kiểm tra phần mềm nguồn mở, xem xét hóa đơn nguyên vật liệu phần mềm (SBOM) và phân tích quy trình làm việc dữ liệu và tích hợp API) cũng như triển khai các biện pháp bảo vệ cần thiết chống lại các mối đe dọa chuỗi cung ứng LLM. Bao gồm những hiểu biết sâu sắc từ các khuôn khổ ngành và nhận thức được các cách sử dụng nhiều nguồn thông tin về mối đe dọa và rủi ro để điều chỉnh và mở rộng các biện pháp phòng vệ bảo mật của bạn nhằm giải quyết các rủi ro bảo mật AI, ML và AI tổng quát mới xuất hiện và không có trong các khuôn khổ truyền thống. Tìm kiếm thông tin đồng hành về các rủi ro dành riêng cho AI từ các nguồn công nghiệp, quốc phòng, chính phủ, quốc tế và học thuật vì các mối đe dọa mới xuất hiện và phát triển trong không gian này thường xuyên cũng như các khuôn khổ và hướng dẫn đồng hành được cập nhật thường xuyên. Ví dụ: khi sử dụng mô hình Thế hệ tăng cường truy xuất (RAG), nếu mô hình không bao gồm dữ liệu cần thiết thì mô hình có thể yêu cầu dữ liệu đó từ nguồn dữ liệu bên ngoài để sử dụng trong quá trình suy luận và tinh chỉnh. Nguồn mà nó truy vấn có thể nằm ngoài tầm kiểm soát của bạn và có thể là nguồn gây tổn hại tiềm tàng trong chuỗi cung ứng của bạn. Cách tiếp cận bảo vệ chuyên sâu nên được mở rộng sang các nguồn bên ngoài để thiết lập sự tin cậy, xác thực, ủy quyền, quyền truy cập, bảo mật, quyền riêng tư và độ chính xác của dữ liệu mà nó đang truy cập. Để tìm hiểu sâu hơn, hãy đọc “Xây dựng ứng dụng doanh nghiệp an toàn với Generative AI và RAG bằng cách sử dụng Amazon SageMaker JumpStart"

Phân tích và giảm thiểu rủi ro trong các ứng dụng LLM của bạn

Trong phần này, chúng tôi phân tích và thảo luận về một số kỹ thuật giảm thiểu rủi ro dựa trên ranh giới và tương tác tin cậy hoặc các khu vực riêng biệt của khối lượng công việc có phạm vi kiểm soát thích hợp và hồ sơ rủi ro tương tự. Trong kiến ​​trúc mẫu này của ứng dụng chatbot, có năm ranh giới tin cậy thể hiện các biện pháp kiểm soát, dựa trên cách khách hàng AWS thường xây dựng ứng dụng LLM của họ. Ứng dụng LLM của bạn có thể có ít nhiều ranh giới tin cậy có thể xác định được. Trong kiến ​​trúc mẫu sau đây, các ranh giới tin cậy này được xác định như sau:

1. Tương tác giao diện người dùng (yêu cầu và phản hồi)
2. Tương tác ứng dụng
3. Tương tác mô hình
4. Tương tác dữ liệu
5. Tương tác và sử dụng tổ chức

Tương tác giao diện người dùng: Phát triển giám sát yêu cầu và phản hồi

Phát hiện và ứng phó kịp thời với các sự cố mạng liên quan đến AI tạo bằng cách đánh giá chiến lược giải quyết rủi ro từ đầu vào và đầu ra của ứng dụng AI tạo. Ví dụ: có thể cần phải có công cụ giám sát bổ sung về hành vi và luồng dữ liệu ra để phát hiện việc tiết lộ thông tin nhạy cảm bên ngoài miền hoặc tổ chức của bạn, trong trường hợp nó được sử dụng trong ứng dụng LLM.

Các ứng dụng AI sáng tạo vẫn phải duy trì các biện pháp bảo mật tiêu chuẩn tốt nhất khi bảo vệ dữ liệu. Thành lập một vành đai dữ liệu an toàn và bảo mật kho dữ liệu nhạy cảm. Mã hóa dữ liệu và thông tin được sử dụng cho các ứng dụng LLM khi lưu trữ và đang truyền. Bảo vệ dữ liệu dùng để huấn luyện mô hình của bạn khỏi bị ngộ độc dữ liệu huấn luyện bằng cách hiểu và kiểm soát những người dùng, quy trình và vai trò nào được phép đóng góp vào kho lưu trữ dữ liệu, cũng như cách luồng dữ liệu trong ứng dụng, giám sát độ lệch sai lệch cũng như sử dụng phiên bản và lưu trữ bất biến trong các dịch vụ lưu trữ như Amazon S3. Thiết lập các biện pháp kiểm soát đầu vào và đầu ra dữ liệu nghiêm ngặt bằng cách sử dụng các dịch vụ như Tường lửa mạng AWS và AWS VPC để bảo vệ khỏi đầu vào đáng ngờ cũng như khả năng đánh cắp dữ liệu.

Trong quá trình đào tạo, đào tạo lại hoặc tinh chỉnh, bạn nên biết về mọi dữ liệu nhạy cảm được sử dụng. Sau khi dữ liệu được sử dụng trong một trong các quy trình này, bạn nên lập kế hoạch cho một tình huống trong đó bất kỳ người dùng nào trong mô hình của bạn đột nhiên có thể trích xuất lại dữ liệu hoặc thông tin bằng cách sử dụng các kỹ thuật chèn nhanh. Hiểu những rủi ro và lợi ích của việc sử dụng dữ liệu nhạy cảm trong mô hình và suy luận của bạn. Triển khai các cơ chế ủy quyền và xác thực mạnh mẽ để thiết lập và quản lý các quyền truy cập chi tiết, không dựa vào logic ứng dụng LLM để ngăn chặn việc tiết lộ. Đầu vào do người dùng kiểm soát đối với ứng dụng AI tổng quát đã được chứng minh trong một số điều kiện là có thể cung cấp một vectơ để trích xuất thông tin từ mô hình hoặc bất kỳ phần đầu vào nào không do người dùng kiểm soát. Điều này có thể xảy ra thông qua tính năng chèn nhanh, trong đó người dùng cung cấp đầu vào khiến đầu ra của mô hình sai lệch so với các rào cản dự kiến ​​của ứng dụng LLM, bao gồm cả việc cung cấp manh mối về các tập dữ liệu mà mô hình đã được đào tạo ban đầu.

Triển khai hạn ngạch truy cập cấp người dùng đối với người dùng cung cấp đầu vào và nhận đầu ra từ mô hình. Bạn nên xem xét các phương pháp tiếp cận không cho phép truy cập ẩn danh trong các điều kiện mà dữ liệu và thông tin đào tạo mô hình rất nhạy cảm hoặc khi có rủi ro từ việc đối thủ đào tạo bản sao mô hình của bạn dựa trên đầu vào của họ và đầu ra mô hình đã căn chỉnh của bạn. Nói chung, nếu một phần đầu vào của mô hình bao gồm văn bản do người dùng cung cấp tùy ý, hãy xem xét đầu ra dễ bị chèn kịp thời và theo đó, đảm bảo việc sử dụng đầu ra bao gồm các biện pháp đối phó về mặt kỹ thuật và tổ chức đã triển khai để giảm thiểu việc xử lý đầu ra không an toàn, sự ủy quyền quá mức. và sự phụ thuộc quá mức. Trong ví dụ trước đó liên quan đến việc lọc đầu vào độc hại bằng AWS WAF, hãy cân nhắc việc xây dựng một bộ lọc trước ứng dụng của bạn để phát hiện khả năng sử dụng sai lời nhắc và phát triển chính sách về cách xử lý và phát triển những bộ lọc đó khi mô hình và dữ liệu của bạn phát triển. Ngoài ra, hãy cân nhắc việc xem xét có lọc kết quả đầu ra trước khi trả lại cho người dùng để đảm bảo nó đáp ứng các tiêu chuẩn về chất lượng, độ chính xác hoặc kiểm duyệt nội dung. Bạn có thể muốn tùy chỉnh thêm điều này cho phù hợp với nhu cầu của tổ chức mình bằng một lớp kiểm soát bổ sung đối với đầu vào và đầu ra phía trước mô hình của mình để giảm thiểu các mẫu lưu lượng truy cập đáng ngờ.

Tương tác ứng dụng: Bảo mật ứng dụng và khả năng quan sát

Hãy chú ý xem xét ứng dụng LLM của bạn về cách người dùng có thể sử dụng mô hình của bạn để vượt qua ủy quyền tiêu chuẩn đối với một công cụ hoặc chuỗi công cụ tiếp theo mà họ không có quyền truy cập hoặc sử dụng. Một mối quan tâm khác ở lớp này liên quan đến việc truy cập các kho lưu trữ dữ liệu bên ngoài bằng cách sử dụng một mô hình làm cơ chế tấn công sử dụng các rủi ro LLM về mặt kỹ thuật hoặc tổ chức không được giảm thiểu. Ví dụ: nếu mô hình của bạn được đào tạo để truy cập một số kho dữ liệu nhất định có thể chứa dữ liệu nhạy cảm, bạn nên đảm bảo rằng bạn có các bước kiểm tra ủy quyền thích hợp giữa mô hình của bạn và các kho dữ liệu. Sử dụng các thuộc tính bất biến về người dùng không đến từ mô hình khi thực hiện kiểm tra ủy quyền. Việc xử lý đầu ra không an toàn không được thừa nhận, thiết kế plugin không an toàn và cơ quan quá mức có thể tạo điều kiện cho tác nhân đe dọa có thể sử dụng mô hình để đánh lừa hệ thống ủy quyền nâng cấp các đặc quyền hiệu quả, dẫn đến thành phần xuôi dòng tin rằng người dùng được phép truy xuất dữ liệu hoặc thực hiện một hành vi cụ thể. hoạt động.

Khi triển khai bất kỳ plugin hoặc công cụ AI tổng quát nào, bắt buộc phải kiểm tra và hiểu mức độ truy cập được cấp, cũng như xem xét kỹ lưỡng các biện pháp kiểm soát truy cập đã được định cấu hình. Việc sử dụng các plugin AI tổng hợp không an toàn không được thừa nhận có thể khiến hệ thống của bạn dễ gặp phải các lỗ hổng và mối đe dọa trong chuỗi cung ứng, có khả năng dẫn đến các hành động độc hại, bao gồm cả việc chạy mã từ xa.

Tương tác mô hình: Phòng chống tấn công mô hình

Bạn nên biết nguồn gốc của bất kỳ mô hình, plugin, công cụ hoặc dữ liệu nào bạn sử dụng để đánh giá và giảm thiểu các lỗ hổng trong chuỗi cung ứng. Ví dụ: một số định dạng mô hình phổ biến cho phép nhúng mã có thể chạy tùy ý vào chính các mô hình đó. Sử dụng bản sao gói, chức năng quét và kiểm tra bổ sung nếu có liên quan đến mục tiêu bảo mật của tổ chức bạn.

Các bộ dữ liệu bạn đào tạo và tinh chỉnh mô hình của mình cũng phải được xem xét. Nếu bạn tiếp tục tự động tinh chỉnh mô hình dựa trên phản hồi của người dùng (hoặc thông tin khác do người dùng cuối kiểm soát), bạn phải xem xét liệu tác nhân đe dọa độc hại có thể tùy ý thay đổi mô hình dựa trên việc thao túng phản hồi của họ và đạt được mục đích đầu độc dữ liệu huấn luyện hay không.

Tương tác dữ liệu: Giám sát chất lượng và cách sử dụng dữ liệu

Các mô hình AI sáng tạo như LLM thường hoạt động tốt vì chúng đã được đào tạo trên một lượng lớn dữ liệu. Mặc dù dữ liệu này giúp LLM hoàn thành các nhiệm vụ phức tạp nhưng nó cũng có thể khiến hệ thống của bạn có nguy cơ bị ngộ độc dữ liệu huấn luyện, xảy ra khi đưa hoặc bỏ qua dữ liệu không phù hợp trong tập dữ liệu huấn luyện có thể thay đổi hành vi của mô hình. Để giảm thiểu rủi ro này, bạn nên xem xét chuỗi cung ứng của mình và hiểu quy trình xem xét dữ liệu cho hệ thống trước khi nó được sử dụng trong mô hình của bạn. Mặc dù quy trình đào tạo là nguồn chính gây ngộ độc dữ liệu, bạn cũng nên xem xét cách mô hình của bạn lấy dữ liệu, chẳng hạn như trong mô hình RAG hoặc hồ dữ liệu và liệu nguồn dữ liệu đó có đáng tin cậy và được bảo vệ hay không. Sử dụng các dịch vụ Bảo mật AWS như AWS Security Hub, Amazon GuardDuty và Amazon Inspector để giúp giám sát liên tục các hoạt động đáng ngờ trong Amazon EC2, Amazon EKS, Amazon S3, Dịch vụ cơ sở dữ liệu quan hệ của Amazon (Amazon RDS) và quyền truy cập mạng có thể là dấu hiệu của các mối đe dọa mới nổi, đồng thời sử dụng Detective để trực quan hóa các cuộc điều tra bảo mật. Cũng nên cân nhắc sử dụng các dịch vụ như Hồ bảo mật Amazon để tăng tốc điều tra bảo mật bằng cách tạo hồ dữ liệu chuyên dụng để tự động tập trung dữ liệu bảo mật từ môi trường AWS, nhà cung cấp SaaS, tại cơ sở và nguồn đám mây góp phần vào khối lượng công việc AI/ML của bạn.

Tương tác tổ chức: Triển khai các biện pháp bảo vệ quản trị doanh nghiệp cho AI sáng tạo

Xác định các rủi ro liên quan đến việc sử dụng AI tổng hợp cho doanh nghiệp của bạn. Bạn nên xây dựng hệ thống phân loại rủi ro cho tổ chức của mình và tiến hành đánh giá rủi ro để đưa ra quyết định sáng suốt khi triển khai các giải pháp AI tổng quát. Phát triển một Kế hoạch kinh doanh liên tục (BCP) bao gồm khối lượng công việc AI, ML và AI tổng hợp và có thể được triển khai nhanh chóng để thay thế chức năng bị mất của ứng dụng LLM ngoại tuyến hoặc bị ảnh hưởng nhằm đáp ứng SLA của bạn.

Xác định các lỗ hổng về quy trình và nguồn lực, sự thiếu hiệu quả và sự không nhất quán, đồng thời nâng cao nhận thức và quyền sở hữu trong toàn bộ doanh nghiệp của bạn. Mô hình mối đe dọa tất cả khối lượng công việc AI tổng hợp để xác định và giảm thiểu các mối đe dọa bảo mật tiềm ẩn có thể dẫn đến kết quả ảnh hưởng đến hoạt động kinh doanh, bao gồm truy cập trái phép vào dữ liệu, từ chối dịch vụ và lạm dụng tài nguyên. Tận dụng cái mới Công cụ lập mô hình trình soạn thảo mối đe dọa AWS để giúp giảm thời gian tạo ra giá trị khi thực hiện lập mô hình mối đe dọa. Sau này trong chu kỳ phát triển của bạn, hãy cân nhắc việc giới thiệu kỹ thuật hỗn loạn an ninh thử nghiệm chèn lỗi để tạo điều kiện thực tế nhằm hiểu cách hệ thống của bạn sẽ phản ứng với những điều chưa biết và tạo dựng niềm tin vào khả năng phục hồi và bảo mật của hệ thống.

Bao gồm các quan điểm đa dạng trong việc phát triển các chiến lược bảo mật và cơ chế quản lý rủi ro để đảm bảo tuân thủ và bao phủ AI/ML cũng như bảo mật tổng quát trên tất cả các vai trò và chức năng công việc. Áp dụng tư duy bảo mật ngay từ khi bắt đầu và nghiên cứu bất kỳ ứng dụng AI tổng quát nào để phù hợp với yêu cầu. Nếu bạn cần hỗ trợ thêm từ AWS, hãy yêu cầu người quản lý tài khoản AWS của bạn đảm bảo rằng có sự hỗ trợ như nhau bằng cách yêu cầu Kiến trúc sư giải pháp AWS từ AWS Security và AI/ML trợ giúp song song.

Đảm bảo rằng tổ chức bảo mật của bạn thường xuyên thực hiện các hành động để thúc đẩy giao tiếp xung quanh cả nhận thức về rủi ro và hiểu biết về quản lý rủi ro giữa các bên liên quan đến AI tổng quát như người quản lý sản phẩm, nhà phát triển phần mềm, nhà khoa học dữ liệu và lãnh đạo điều hành, cho phép thông tin về mối đe dọa và hướng dẫn kiểm soát tiếp cận các nhóm có thể bị ảnh hưởng. Các tổ chức bảo mật có thể hỗ trợ văn hóa tiết lộ có trách nhiệm và cải tiến lặp đi lặp lại bằng cách tham gia vào các cuộc thảo luận và đưa ra những ý tưởng cũng như thông tin mới cho các bên liên quan về AI có liên quan đến mục tiêu kinh doanh của họ. Học nhiều hơn về cam kết của chúng tôi đối với AI có trách nhiệm và bổ sung tài nguyên AI có trách nhiệm để giúp đỡ khách hàng của chúng tôi.

Đạt được lợi thế trong việc hỗ trợ tư thế tổ chức tốt hơn cho AI tổng hợp bằng cách bỏ chặn thời gian để coi trọng các quy trình bảo mật hiện có trong tổ chức của bạn. Chủ động đánh giá nơi tổ chức của bạn có thể yêu cầu các quy trình quá nặng nề trong bối cảnh bảo mật AI tổng quát và tinh chỉnh những quy trình này để cung cấp cho các nhà phát triển và nhà khoa học một lộ trình rõ ràng để khởi động với các biện pháp kiểm soát chính xác tại chỗ.

Đánh giá nơi có thể có cơ hội để điều chỉnh các biện pháp khuyến khích, giảm thiểu rủi ro và đưa ra tầm nhìn rõ ràng về kết quả mong muốn. Cập nhật hướng dẫn kiểm soát và biện pháp bảo vệ để đáp ứng nhu cầu ngày càng tăng của AI/ML và phát triển ứng dụng AI tổng quát nhằm giảm sự nhầm lẫn và sự không chắc chắn có thể làm tốn thời gian phát triển, tăng rủi ro và tăng tác động.

Đảm bảo rằng các bên liên quan không phải là chuyên gia bảo mật có thể vừa hiểu cách quản trị tổ chức, chính sách và các bước quản lý rủi ro áp dụng cho khối lượng công việc của họ, cũng như áp dụng các cơ chế quản lý rủi ro. Chuẩn bị cho tổ chức của bạn ứng phó với các sự kiện và kịch bản thực tế có thể xảy ra với các ứng dụng AI tổng quát, đồng thời đảm bảo rằng các vai trò của người xây dựng AI tổng quát và các nhóm phản hồi nhận thức được các đường dẫn và hành động leo thang trong trường hợp có lo ngại về bất kỳ hoạt động đáng ngờ nào.

Kết luận

Để thương mại hóa thành công sự đổi mới với bất kỳ công nghệ mới và mới nổi nào, đòi hỏi phải bắt đầu với tư duy ưu tiên bảo mật, xây dựng trên nền tảng cơ sở hạ tầng an toàn và suy nghĩ về cách sớm tích hợp bảo mật hơn nữa ở từng cấp độ của công nghệ với bảo mật chuyên sâu tiếp cận. Điều này bao gồm các tương tác ở nhiều lớp trong ngăn xếp công nghệ và các điểm tích hợp trong chuỗi cung ứng kỹ thuật số của bạn để đảm bảo khả năng phục hồi của tổ chức. Mặc dù AI tổng quát đưa ra một số thách thức mới về bảo mật và quyền riêng tư, nhưng nếu bạn tuân theo các phương pháp bảo mật cơ bản tốt nhất như sử dụng biện pháp bảo vệ chuyên sâu với các dịch vụ bảo mật nhiều lớp, bạn có thể giúp bảo vệ tổ chức của mình khỏi nhiều vấn đề phổ biến và các mối đe dọa ngày càng gia tăng. Bạn nên triển khai các dịch vụ Bảo mật AWS theo lớp trên khối lượng công việc AI tổng hợp của mình và tổ chức lớn hơn, đồng thời tập trung vào các điểm tích hợp trong chuỗi cung ứng kỹ thuật số để bảo mật môi trường đám mây của bạn. Sau đó, bạn có thể sử dụng khả năng bảo mật và quyền riêng tư nâng cao trong các dịch vụ AWS AI/ML như Amazon SageMaker và Amazon Bedrock để bổ sung thêm các lớp kiểm soát quyền riêng tư và bảo mật nâng cao cho các ứng dụng AI tổng hợp của bạn. Việc tích hợp bảo mật ngay từ đầu sẽ giúp việc đổi mới bằng AI tổng hợp nhanh hơn, dễ dàng hơn và tiết kiệm chi phí hơn, đồng thời đơn giản hóa việc tuân thủ. Điều này sẽ giúp bạn tăng cường khả năng kiểm soát, độ tin cậy và khả năng quan sát đối với các ứng dụng AI tổng hợp của bạn cho nhân viên, khách hàng, đối tác, cơ quan quản lý và các bên liên quan khác.

Tài liệu tham khảo bổ sung

• Các khung tiêu chuẩn ngành dành cho bảo mật và quản lý rủi ro dành riêng cho AI/ML:

Giới thiệu về tác giả

Christopher Rae là Chuyên gia GTM bảo mật toàn cầu chính, chuyên phát triển và thực hiện các sáng kiến ​​chiến lược nhằm tăng tốc và mở rộng quy mô áp dụng các dịch vụ bảo mật AWS. Ông đam mê sự giao thoa giữa an ninh mạng và các công nghệ mới nổi, với hơn 20 năm kinh nghiệm trong vai trò lãnh đạo chiến lược toàn cầu, cung cấp các giải pháp bảo mật cho khách hàng truyền thông, giải trí và viễn thông. Anh ấy nạp lại năng lượng thông qua việc đọc sách, du lịch, ẩm thực và rượu vang, khám phá âm nhạc mới và tư vấn cho các công ty khởi nghiệp ở giai đoạn đầu.

Ê-li Mùa đông là Kỹ sư bảo mật cấp cao của Amazon Security, có bằng Cử nhân Kỹ thuật an ninh mạng và có tình yêu với Harry Potter. Elijah xuất sắc trong việc xác định và giải quyết các lỗ hổng trong hệ thống AI, kết hợp chuyên môn kỹ thuật với một chút thần kỳ. Elijah thiết kế các giao thức bảo mật phù hợp cho hệ sinh thái AI, mang đến sự tinh tế kỳ diệu cho hệ thống phòng thủ kỹ thuật số. Với tinh thần chính trực, Elijah có kiến ​​thức nền tảng về bảo mật ở cả các tổ chức thuộc khu vực công và thương mại, tập trung vào việc bảo vệ niềm tin.

Ram Vittal là Kiến trúc sư giải pháp ML chính tại AWS. Ông có hơn 3 thập kỷ kinh nghiệm kiến ​​trúc và xây dựng các ứng dụng phân tán, kết hợp và đám mây. Anh ấy đam mê xây dựng các giải pháp dữ liệu lớn và AI/ML an toàn và có thể mở rộng để hỗ trợ khách hàng doanh nghiệp trong hành trình áp dụng và tối ưu hóa đám mây nhằm cải thiện kết quả kinh doanh của họ. Trong thời gian rảnh rỗi, anh ấy lái mô tô và đi dạo cùng chú chó Sheepadoodle 3 tuổi của mình!

Navneet tuteja là Chuyên gia dữ liệu tại Amazon Web Services. Trước khi gia nhập AWS, Navneet đã làm việc với tư cách là người hỗ trợ cho các tổ chức đang tìm cách hiện đại hóa kiến ​​trúc dữ liệu của họ và triển khai các giải pháp AI/ML toàn diện. Cô có bằng kỹ sư của Đại học Thapar, cũng như bằng thạc sĩ về thống kê của Đại học Texas A&M.

Emily Soward là Nhà khoa học dữ liệu với Dịch vụ Chuyên nghiệp của AWS. Cô có bằng Thạc sĩ Khoa học về Trí tuệ Nhân tạo tại Đại học Edinburgh ở Scotland, Vương quốc Anh với chuyên ngành Xử lý ngôn ngữ tự nhiên (NLP). Emily đã phục vụ trong các vai trò khoa học và kỹ thuật ứng dụng, tập trung vào nghiên cứu và phát triển sản phẩm hỗ trợ AI, hoạt động xuất sắc và quản trị khối lượng công việc AI đang hoạt động tại các tổ chức trong khu vực công và tư nhân. Cô ấy đóng góp vào việc hướng dẫn khách hàng với tư cách là Diễn giả cấp cao của AWS và gần đây, là tác giả cho AWS Được kiến ​​trúc tốt trong Ống kính học máy.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://aws.amazon.com/blogs/machine-learning/architect-defense-in-depth-security-for-generative-ai-applications-using-the-owasp-top-10-for-llms/