生成式 AI 浪潮下,那些不可忽视的安全问题
近半年来,ChatGPT 风靡全球,仅 1 月份的访问量就达到 5.9 亿。AI 绘画、AI 写文案、AI 生产视频…… 甚至 AI 写代码等生成式 AI,也随之爆炸式发展。各行各业厂商纷纷将 AI 应用到自身业务中去,以此塑造竞争优势。
但 AI + 风靡的同时,也暴露出众多安全隐患 ——
01/ 神话一般的 AI,也有软肋
曾有研究员发现:ChatGPT 存在严重的 Web 缓存欺骗漏洞,黑客可利用该漏洞窃取其他用户的 ChatGPT 帐户……
除了存在系统漏洞之外,还有数据泄露风险:今年 3 月 20 日,ChatGPT Plus 用户发现其使用界面上出现了其他用户的敏感信息,包括姓名、电子邮箱、地址和聊天记录等等。经过调查,发现是其客户端开源库出现问题,导致部分用户请求被错误返回给其他用户……
AI 虽然是新兴技术产物,但究其根本,采用的仍旧是传统的开发模式。根据 EndorLabs 上个月发布的《2023 软件依赖管理状态报告》显示:开源在 AI 技术堆栈中发挥着越来越重要的作用,且超过半数的人工智能开源项目,引用了存在安全漏洞的软件包。所以,AI 与其他任何 IT 系统一样,同样也难以避免,会存在开源安全风险。
同时,更值得警惕的是,生成式 AI 如今应用范围之广、与各行业业务运转融合度之强,导致其很大可能性收集到大量敏感隐私信息。一旦被入侵,后果将不堪设想。由此可见,AI 安全风险防范迫在眉睫。
02/ 如何让 AI “安全” 地助你塑造竞争优势?
1、源代码安全检测
通过自动化检测加人工审查的方式,对 AI 应用中编写和引用的源代码进行全面的检测和分析,发现源代码中的脆弱性并提供修复建议。从代码源头筑牢 AI 应用安全性,降低源代码带来的安全风险。
源代码安全审计服务:源代码安全审计服务 - 开源网安网安云平台 (wanyun.cn)
2、开源组件成分分析
通过开源组件安全漏洞检测、开源组件使用合规性审计功能、开源组件许可证审计等,全方位识别 AI 应用系统所引用组件存在的安全合规风险,获取改善建议,有效降低软件组件级安全风险,提升 AI 应用系统安全性。
开源组件安全及合规管理服务 - 开源网安网安云平台 (wanyun.cn)
3、软件安全态势可视化
还原 AI 应用内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,绘制可视化关系图表。
采集软件安全分析所需的各类静态和动态数据,对软件资产信息和安全信息进行关联与分析,形成统一的软件资产风险视图。
提高 AI 应用内部组成成分的安全态势可视化、透明程度。协助企业在安全问题来临时,进行安全风险传导路径分析,快速溯源,圈定影响范围。
软件物料清单管理服务 - 开源网安网安云平台 (wanyun.cn)
免费体验咨询:13711866550(莫)
以上,就是本期推送的全部内容。