AI安全未來(lái)發(fā)展與監(jiān)管的平衡

不出所料,面對(duì)未經(jīng)詳細(xì)研究的新技術(shù),人們的第一反應(yīng)就是恐懼,而恐懼可能會(huì)造成過度監(jiān)管。盡管安全監(jiān)管有其可取之處,但我們必須謹(jǐn)記,監(jiān)管并不總能帶來(lái)安全改善。安全相關(guān)法規(guī)好心辦壞事的例子并不少見。

1.png

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”,作者/nana。

隨著生成模型,尤其是大模型(LLM)的出現(xiàn),以及ChatGPT的迅速躥紅,人們?cè)俅魏粲跫訌?qiáng)安全監(jiān)管。

01

安全不是靠監(jiān)管出來(lái)的

不出所料,面對(duì)未經(jīng)詳細(xì)研究的新技術(shù),人們的第一反應(yīng)就是恐懼,而恐懼可能會(huì)造成過度監(jiān)管。盡管安全監(jiān)管有其可取之處,但我們必須謹(jǐn)記,監(jiān)管并不總能帶來(lái)安全改善。安全相關(guān)法規(guī)好心辦壞事的例子并不少見。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)適用于想要刷客戶卡的任何人,或者,說得更專業(yè)一點(diǎn),適用于存儲(chǔ)、處理和/或傳輸持卡人數(shù)據(jù)的任何人。該標(biāo)準(zhǔn)1.1版于2006年制定,要求密碼長(zhǎng)度至少為七個(gè)字符。就當(dāng)時(shí)而言,不少于七個(gè)字符的密碼已經(jīng)夠強(qiáng)了,但今天的普通硬件都能在幾天乃至不到一秒的時(shí)間內(nèi)破解此類密碼。

2022年3月,該標(biāo)準(zhǔn)更新為密碼長(zhǎng)度至少12個(gè)字符(如果系統(tǒng)不支持12個(gè)字符,那至少八個(gè)字符)。即便如此,在2025年3月31日具有法規(guī)約束力之前,該要求只是個(gè)推薦采用的最佳實(shí)踐而已。而且,雖然12個(gè)字符的長(zhǎng)度已經(jīng)優(yōu)于七個(gè)字符,但未來(lái)幾年里也會(huì)變得很容易破解。

安全法規(guī)越具體,就越容易過時(shí)。

02

安全不是靠監(jiān)管出來(lái)的

1通用監(jiān)管的缺點(diǎn)

具體的另一面,也就是法規(guī)過于籠統(tǒng),也會(huì)對(duì)安全造成不利影響。歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)就是現(xiàn)成的例子。GDPR旨在保護(hù)個(gè)人信息。該條例中規(guī)定,個(gè)人數(shù)據(jù)指的是與身份已識(shí)別或可識(shí)別的自然人相關(guān)的任何信息。但個(gè)人數(shù)據(jù)的這個(gè)定義非常寬泛,包羅萬(wàn)象。歐盟法院已經(jīng)裁定,IP地址屬于用戶的個(gè)人數(shù)據(jù)。那就難怪安全部門老是跟法律部門糾纏自己到底可以收集哪些日志來(lái)保護(hù)組織安全的問題了。

正如藍(lán)隊(duì)專業(yè)人士所言,日志在提供所保護(hù)環(huán)境的可見性方面非常重要。如果缺乏日志,我們基本上就無(wú)法探知網(wǎng)絡(luò)上的各種活動(dòng)了,無(wú)論是良性的還是惡意的。盡管如此,如果日志中會(huì)包含員工、客戶和供應(yīng)商的個(gè)人信息,那是否值得冒著被罰全球營(yíng)業(yè)額4%的高昂代價(jià)換取更加安全一點(diǎn)呢?很遺憾,由于法規(guī)的寬泛性,組織主要根據(jù)法律部門的保守性來(lái)調(diào)整決策。

2法規(guī)問題意見紛呈

最后,任何法規(guī)都是不同利益相關(guān)者、立法者、政治游說團(tuán)體、行業(yè)和利益集團(tuán)之間無(wú)休止的爭(zhēng)論和協(xié)商的結(jié)果。因此,最終的法規(guī)草案始終反映的是立法過程中做出的種種妥協(xié)。而在安全領(lǐng)域,任何此類妥協(xié)都會(huì)造成次優(yōu)安全和監(jiān)管漏洞,可能被攻擊者利用。

所以,必須謹(jǐn)記,安全與合規(guī)是兩碼事。合規(guī)的組織仍會(huì)遭到入侵并不是什么巧合,因?yàn)楹弦?guī)不保證安全。這種局面令人相當(dāng)困擾,因?yàn)閯?dòng)搖了安全法規(guī)存在的根本理由。如果安全法規(guī)不是為了確保我們真的安全,那還費(fèi)那事兒制定法規(guī)干什么呢?

幾年前,幾位研究人員發(fā)表論文分析了強(qiáng)制要求為兒童提供汽車安全座椅的法規(guī)是否有效。論文中稱,1977年以來(lái),美國(guó)各州一直在逐步提高兒童使用兒童安全座椅的年齡。因?yàn)楹芏鄻?biāo)準(zhǔn)尺寸車輛的后排無(wú)法容納三個(gè)兒童座椅,這些限制法規(guī)大大增加了生第三個(gè)孩子的成本。研究人員進(jìn)一步估算,由于這些政策的實(shí)施,2017年全美各地死于車禍的兒童減少了57人。但與此同時(shí),這些法規(guī)造成了出生率的長(zhǎng)期下降,自1980年以來(lái)已導(dǎo)致出生人口減少14.5萬(wàn),其中90%發(fā)生在2000年以后。兩相對(duì)比,很容易看出良好的監(jiān)管意圖會(huì)產(chǎn)生怎樣的負(fù)面影響。

在對(duì)組織施加更多安全法規(guī)之前,我們必須問問自己:我們到底是在改善安全,還是單純加強(qiáng)更多監(jiān)管?

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論