企业如何在生成式AI时代进行「安全的创新」

生成式人工智能（生成式AI）正在成为任何人都无法忽视的生产力变量。在它的面前，以往的知识与技能壁垒开始松动甚至坍塌，并为各领域的创新带来无穷的可能性。

然而，企业利用生成式AI进行业务创新的同时也不免面临新的隐忧。企业或组织向生成式AI模型提供数据——很可能是涉及核心业务及客户信息的关键数据——是否能被妥善地保管、使用，及进行必要的保护；还有生成式AI的一些「固有问题」，例如如何实现负责任的AI（Responsible AI）、过滤有害内容、确保内容符合当地及企业政策等。

一般情况下，规模化生成式AI应用都发生在云端，更多企业组织也将依赖云端发展生成式AI的业务创新。因此，我们可以将生成式AI的安全话题，看成是对云端运算安全提出的新挑战。

Amazon Web Services（AWS）对AI的研究已持续数年，其中包括生成式AI被广泛应用后产生的安全需求改变。对于云端运算安全，AWS的态度是一贯的——在业务初期就考虑安全因素，主动设计而不是被动响应。对于生成式AI相关服务、功能及应用，AWS在其安全的基础设施之上，在生成式AI服务及功能设计之初就充分考虑了安全因素，并进一步建构负责任AI的防护机制。与此同时，AWS也在利用生成式AI来赋能已有的或新推出的安全服务。这些措施帮助AWS的客户在使用生成式AI服务时能获得不逊色于以往任何时候的安全体验。

从底层基础设施层面实现对生成式AI工作负载数据的隔离与加密保护

企业使用生成式AI最大的顾虑之一是如何保护数据及隐私安全。企业可能会使用高度敏感的数据，如个人数据、法遵计划、营运数据及财务信息，以优化模型或使用生成式AI应用。

企业为了安全地使用生成式AI，首先应考虑三个问题：1）数据在哪里？企业需要知道使用数据训练模型的整个工作流程中，这些数据来自哪里，以及是如何被处理和保护的；2）如何处理模型推论时输入和输出的数据？训练数据并不是企业唯一需要关注的敏感性数据库，企业查询本身也应该成为数据保护计划的一部分；3）生成式AI模型的输出是否准确？不同的生成式AI的使用场景对准确度和风险的要求不同。如果企业正在使用大型语言模型来生成程序码，那麽企业就必需要确认这个程序码是否写得足够好，是否遵循了企业的最佳实践等。

AWS对客户生成式AI的保护始于其基础设施。AWS独有的云端服务器虚拟化引擎AWS Nitro将主机CPU/GPU的I/O功能下载至专门的硬件上，不但提供更加一致的效能，其增强的安全性可以在用户端和云端全程保护客户的程序码和数据在处理过程中的安全。这一独家功能已经获得了领先的网络安全公司NCC Group的独立认证。

Nitro系统提供硬件级别的安全机制，首先从设计上将客户数据与营运商完全隔离，即AWS作为营运商无法存取客户在Amazon Elastic Compute Cloud（Amazon EC2）实例上运行的生成式AI相关的工作负载或数据。其次，客户还可以透过AWS Nitro Enclaves和AWS Key Management Service（AWS KMS），使用金钥加密敏感的生成式AI数据，将其储存在指定的位置，并安全地将加密数据传输到隔离的运算环境中进行推论运算。

此外，AWS还将AWS Nitro Enclaves和AWS KMS端到端加密流程进一步扩展到AWS Trainium2和其他GPU，强化使用者生成式AI数据在基础设施设备间的安全通讯。

在生成式AI服务的设计之初就考虑安全性，并成为负责任的AI

除了建构安全的全球云端基础设施，AWS的安全不止安全服务，其所有服务均符合安全标准。AWS提倡在新服务的设计初期就考虑安全因素。

以生成式AI完全托管服务Amazon Bedrock为例，作为一项旨在让客户便捷地使用基础模型建构和扩展生成式AI应用程序的云端服务，Amazon Bedrock在设计之初就考虑了如何发挥基础设施的安全能力，以及AI服务本身的安全需求。AWS和合作的模型供应商不会使用Amazon Bedrock的任何输入或输出数据训练其基础模型。

在使用Amazon Bedrock时，客户的数据在传输过程中和静态储存时都经过加密，客户的所有数据都是安全且隐私的。客户可以使用AWS PrivateLink建立从Amazon Virtual Private Cloud（Amazon VPC）到Amazon Bedrock的私人连线；或者采用基于身份识别的安全性原则，例如在使用AWS KMS新增、管理和控制加密金钥时，设定哪些用户或角色可以在什麽条件下对哪些资源进行什麽操作。

对于云端运算使用者来说，数据与隐私安全并非生成式AI带来的「新话题」，但生成式AI也确实带来了「负责任的AI」这种AI时代独有的安全考验。当客户在使用Amazon Bedrock这类的生成式AI服务时，不得不考虑过滤有害内容，确保内容符合当地及企业政策。

为此，Amazon Bedrock具备帮助客户实现负责任AI的防护机制Guardrails for Amazon Bedrock。相比于一些AI模型仅透过内部控制模块来过滤内容，Amazon Bedrock的防护机制能让客户进一步定制化AI应用程序，以便符合不同内容政策的标准。

客户只需提供一个自然语言描述来设定其应用程序上下文中被过滤的主题，即可打造定制化的防护机制，还可以设定阈值，跨领域过滤如仇恨言论、侮辱、暴力等语言，以及套用筛检程序来删除任何个人和敏感信息、不雅言论或特定的词汇。透过这种「内建+定制化」的双重防护机制，更大程度保证基于生成式AI的业务能实践负责任的AI。

借助生成式AI的能力让安全更易实现

在云端环境中，生成式AI并不仅仅是「被保护者」，它本身也能成为提升安全的强大工具，从业务初期就能提醒那些潜在的、未被意识到的风险。程序码编写方式是信息安全中最大的变量之一，一些小问题就可能导致严重的网安事件。生成式AI模型本质上也是程序码，也可能因为程序码编写的漏洞而存在安全隐患。从安全角度来看，从一开始就编写出安全的程序码，无疑比编写完成后才进行测试，甚至已经使用后再去修改要好得多。

为了帮助云端运算客户做到符合安全需求的程序码编写，AWS将AI能力运用到程序码生成器上，以服务或功能的方式提供给客户。AWS推出用于IDE（整合式开发环境）和命令列的AI开发工具Amazon Q Developer，是一个机器学习驱动的程序码生成器，直接在整合式开发环境中为开发人员提供实时的程序码建议。Amazon Q Developer不仅能极大提升开发人员编写程序码的效率，而且还能让程序码更加安全。它内建了安全扫描功能，能够扫描程序码并检测难以发现的漏洞，且根据客户的程序码，提供专属的修复建议，帮助开发人员实时、快速地修复漏洞。

Amazon Q Developer同样为客户提供了定制化的选择，以便使用私人的程序码库来优化产出成果。为了确保用于开发的数据处于隔离运算环境，以及防止一切未经授权的使用，Amazon Q Developer设定了一系列不可变更的安全机制，包括不同工作负载之间的数据隔离、AWS KMS对静态数据的加密、基于身份验证的数据使用授权以及数据储存时的加密和强制隔离。

一些原有的安全服务也透过生成式AI获得新的功能。例如漏洞管理服务Amazon Inspector，它的AWS Lambda函数程序码扫描功能从2023年开始使用生成式AI和自动推论的辅助程序码修复，以简化更新易受攻击程序码的过程。Amazon Detective也在2023年增加了使用生成式AI建构安全事件描述的能力。生成式AI可以自动分析调查结果群组并以自然语言提供洞察，帮助工程师加快安全检查。这些基于生成式AI的创新服务和升级，为安全工作创造了更便捷、更高效的新可能。我们可以期待，企业的安全工程师将能够以更少的工作量来达成目标，使企业得以更从容地应对各类安全风险。

在不远的未来，生成式AI将如同现在的网际网络与云端运算一样变得无处不在。尽管新的数码技术将无可避免地带来新的安全挑战，但我们无需为此过分担忧。成熟的安全防护机制，加上新的安全功能，足以为云端上的生成式AI业务建构可靠的安全环境。生成式AI本身也成为安全创新的助力，让新的安全功能更具主动性，更加简单易用。

云端运算供应商积累的经验与智能，将继续在AI时代保护用户的安全。经历数次重大技术变革之后，安全工作者更知道如何应对变革，让新事物的到来可控且有序。