本文來(lái)自微信公眾號(hào)“GoUpSec”。
當(dāng)今的網(wǎng)絡(luò)安全行業(yè)嚴(yán)重依賴傳統(tǒng)方法(主要是人工驅(qū)動(dòng)的方法),隨著基于大語(yǔ)言模型的生成式人工智能變革浪潮襲來(lái),首當(dāng)其沖的網(wǎng)絡(luò)安全行業(yè)正面臨一次技術(shù)和方法的顛覆性革命,不想被淘汰的網(wǎng)絡(luò)安全從業(yè)人員需要重新點(diǎn)亮技能樹。
生成式人工智能是今年BlackHat黑帽大會(huì)的核心話題,一些快速涌現(xiàn)的,看似不成熟的生成式人工智能網(wǎng)絡(luò)安全用例也已經(jīng)解決了一些艱巨的挑戰(zhàn)。例如將人類語(yǔ)言查詢即時(shí)翻譯成SQL語(yǔ)法,加快開發(fā)人員編碼的速度,或?qū)Π踩录M(jìn)行分類等,大語(yǔ)言模型的影響已經(jīng)顯現(xiàn)。在安全運(yùn)營(yíng)自動(dòng)化、威脅檢測(cè)和響應(yīng)、威脅情報(bào)管理三大熱門網(wǎng)絡(luò)安全領(lǐng)域,大量生成式人工智能產(chǎn)品已經(jīng)開始進(jìn)入生產(chǎn)環(huán)境。
總之,生成式人工智能時(shí)代在批判和質(zhì)疑聲中已經(jīng)到來(lái),網(wǎng)絡(luò)安全專業(yè)人員必須提高自己的水平并獲得響應(yīng)技能,才能在未來(lái)獲得新的競(jìng)爭(zhēng)優(yōu)勢(shì)。
本文我們將介紹生成式人工智能時(shí)代(大多數(shù))網(wǎng)絡(luò)安全專業(yè)人員需要掌握的三種關(guān)鍵技能:
一、機(jī)器學(xué)習(xí)——了解AI的引擎
機(jī)器學(xué)習(xí)是驅(qū)動(dòng)人工智能的引擎,網(wǎng)絡(luò)安全專業(yè)人員需要積極了解機(jī)器學(xué)習(xí)的工作原理——例如監(jiān)督機(jī)器學(xué)習(xí)和無(wú)監(jiān)督機(jī)器學(xué)習(xí)之間的區(qū)別,以及現(xiàn)有的不同算法。網(wǎng)絡(luò)安全人士也許不需要成為數(shù)據(jù)科學(xué)專家,但可以嘗試全面了解機(jī)器學(xué)習(xí)模型的工作原理,這對(duì)于在機(jī)器學(xué)習(xí)生命周期的各個(gè)階段實(shí)施安全控制將非常有幫助。
機(jī)器學(xué)習(xí)方面的知識(shí)和技能還將幫助網(wǎng)絡(luò)安全人士與人工智能專家溝通,后者將越來(lái)越多地出現(xiàn)在大企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)中。
機(jī)器學(xué)習(xí)技能還有助于網(wǎng)絡(luò)安全專業(yè)人士針對(duì)特定的安全相關(guān)用例訓(xùn)練自己的ML模型。
最重要的是,不久的將來(lái),懂得使用機(jī)器學(xué)習(xí)或微調(diào)大語(yǔ)言模型來(lái)檢測(cè)和響應(yīng)特定威脅的網(wǎng)絡(luò)安全專業(yè)人士將成為網(wǎng)絡(luò)安全行業(yè)最炙手可熱的人才,市場(chǎng)需求巨大。
二、AI應(yīng)用的威脅建模
隨著云應(yīng)用的增加,威脅建模作為一門學(xué)科在網(wǎng)絡(luò)安全中變得越來(lái)越流行。威脅建模需要安全人士以攻擊者的視角檢查應(yīng)用程序入口點(diǎn)、依賴項(xiàng)和信任級(jí)別。這是將應(yīng)用安全分解成不同威脅區(qū)域并獲取風(fēng)險(xiǎn)列表的最佳方法。
如今,基于人工智能的應(yīng)用程序已經(jīng)開始暴露出大量漏洞(例如提示注入攻擊、數(shù)據(jù)投毒等),需要在部署之前進(jìn)行識(shí)別。但與應(yīng)用程序不同,對(duì)人工智能系統(tǒng)進(jìn)行威脅建模需要采用全新的方法和模型:
你需要了解人工智能面臨的特定威脅,例如數(shù)據(jù)中毒、推理、模型規(guī)避等,以便能夠?yàn)槿斯ぶ悄芟到y(tǒng)創(chuàng)建有效的威脅模型。這里又涉及前文提到的機(jī)器學(xué)習(xí)技能!
同樣,隨著越來(lái)越多的人工智能應(yīng)用程序融入生產(chǎn)環(huán)境中,AI威脅建模技能將變得越來(lái)越有價(jià)值。
三、人工智能數(shù)據(jù)隱私和道德
人工智能應(yīng)用的模型訓(xùn)練需要大量數(shù)據(jù),這也是生成式人工智能“學(xué)習(xí)”并做出決策的方式。
業(yè)界關(guān)于ChatGPT等生成式人工智能應(yīng)用最大的爭(zhēng)議是如何在數(shù)據(jù)隱私方面取得平衡,同時(shí)為這些應(yīng)用程序提供所需的數(shù)據(jù)。
雖然歐盟和中國(guó)已經(jīng)起草或頒布了一些針對(duì)人工智能的法規(guī),但業(yè)界對(duì)快速野蠻生長(zhǎng)的生成式人工智能的監(jiān)管依然滯后,相關(guān)的隱私和道德問(wèn)題將越來(lái)越復(fù)雜且代價(jià)高昂,相關(guān)技能的市場(chǎng)需求將快速增長(zhǎng),以確保生成式人工智能應(yīng)用在隱私和道德方面的合規(guī),同時(shí)保證其公平、透明、可追溯和無(wú)偏見。