人工智慧
藉由 AI 組態設定最佳實務原則,解決 AI 資安風險
隨著許多企業紛紛採用 AI 來提高生產力,並創造能為客戶帶來價值的商機,AI 的使用情況正在不斷增加。
時空背景
隨著許多企業紛紛採用 AI 來提高生產力並創造能為客戶帶來價值的商機,AI 的使用情況正在不斷增加。根據 Mckinsey 的文章 (https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai) 當中所做的全球 AI 調查,有 65% 的受訪者表示他們的企業會定期用到 GenAI,這數字幾乎是我們十個月前調查時的兩倍。企業已經開始看到採用 GenAI 技術的實質效益,凡是部署這項技術的業務部門,都出現了成本降低及營收攀升的情況。
儘管 AI 為企業帶來了令人振奮、獲利豐厚的全新契機,但卻也成為許多企業最新的攻擊面,原因就在於資安經常跟不上新技術的部署腳步。
AI 攻擊手法與資安風險
AI 攻擊手法
使用生成式 AI (GenAI) 的企業數量正在爆炸性成長,然而為了滿足市場需求而快速普及的結果,很可能導致企業忽略了資安的最佳實務原則。
這項新技術的迅速普及,意味著雲端架構師、資安人員,以及開發人員可能還未能接受 GenAI 服務部署安全的訓練或指引。此外,最近還出現了一些攻擊事件,例如:
- Qubitstrike 攻擊行動:暴露在網際網路上的 AI 模型筆記本被駭客用來蒐集雲端廠商的登入憑證以及從事虛擬加密貨幣挖礦。
- ChatGPT 的 Microsoft Windows 11「阿媽」(grandma) 漏洞攻擊手法:利用提示注入手法騙過 ChatGPT,讓它提供免費的 Windows 11 產品金鑰。
駭客越來越常利用 GenAI 來製作針對性網路釣魚郵件,但 GenAI 同樣也能用來幫忙偵測詐騙和資安威脅。
資安風險
以下是使用 AI 服務時可能遇到的資安風險:
- OWASP 的 LLM 與生成式 AI 應用程式 10 大風險
- 提示注入:這可能導致機敏資訊外洩以及商譽損失。
- 不安全的輸出處理方式:可能導致跨網站腳本與遠端程式碼注入。
- 訓練資料遭下毒:使用者可能看到被下毒的資訊,或者導致效能下降、下游軟體漏洞遭到攻擊、商譽損失等等的其他風險。
- 模型阻斷服務:影響 AI 服務的可用性,進而降低使用者所感受的服務品質,並產生超出 AI 服務廠商預期的資源成本。
- 機敏資訊曝光:LLM 有可能在輸出內容當中洩露機敏資訊、獨家演算法,或是其他機密細節。當使用個人身分識別資訊 (PII) 之類的機敏資料來訓練 LLM 時,就有可能發生這類情況。
- 過多的代理權限:當系統根據非預期或含糊不清的 LLM 輸出結果來採取行動時,就可能出現一些會造成損害的行為。
- 過度依賴:當 LLM 產生了錯誤的資訊,但卻又看起來很有說服力時,倘若使用人員或系統在毫無監督或確認的情況下就直接相信這些資訊,就可能將造成資安事件、資訊錯誤、溝通錯誤、法律問題,以及商譽損失。
- 模型遭竊:訓練中的模型 (同樣也一種珍貴的智慧財產) 和/或訓練資料被競爭對手或駭客竊取並用於建立類似的生成式 AI 服務。
當企業無法確實做好 GenAI 產品的資安控管時,就可能因上述問題而受到危害。
企業未能落實 GenAI 產品的資安控管可能帶來的危害包括:喪失客戶信任、法律訴訟、商譽損失,以及營收損失。
如何防範 AI 資安問題?
依據最佳實務原則來設定 AI 雲端服務的組態設定,就能防範前述資安問題,確保 AI 服務的安全性。
以下是趨勢科技推薦的一些 AI 最佳實務原則:
AWS AI 最佳實務原則
在 Amazon Bedrock 防護機制 (Guardrail) 當中設定機敏資訊過濾規則
Amazon Bedrock 防護機制的目的是為了確保 Amazon Bedrock 提供的 AI 服務被安全而負責任地使用。這些機制有助於管理資料隱私、防止誤用,並隨時遵守法規。防護機制可偵機敏資訊,例如輸入提示或基礎模型 (FM) 回應當中的個人身分識別資訊 (PII)。您也可以設定一些專屬於您應用情境或企業環境的機敏資訊,並使用正規表示法 (regular expression) 來加以定義。Amazon Bedrock 防護機制提供了兩種行為模式來過濾機敏資訊。
此一最佳實務原則可協助客戶找出任何未設定防護機制的 Bedrock 資源。防護機制是一項重要的資安措施,它能從 AI 的回應和使用者輸入當中過濾掉機敏資訊。客戶固然不應使用機敏資料來訓練 AI,但防護機制可當成一道額外的安全措施,確保萬一有機敏資料不小心出現在被訓練的模型中,就可以在回應時被過濾掉。進一步了解
禁止筆記本執行個體直接存取網際網路
此一最佳實務原則可確保您的 Amazon SageMaker Studio 筆記本執行個體無法透過 Direct Internet Access 功能與網際網路通訊。若要進一步加強安全控管,請記得將筆記本執行個體所關聯的 Amazon SageMaker 網域設定為 VPC only (僅限 VPC) 網路存取類型。當使用「VPC Only」設定時,所有 SageMaker Studio 的流量都會繞經您安全的 VPC 子網路,因此會預設停用網際網路存取。進一步了解
Microsoft Azure AI 最佳實務原則:
禁止公共網路存取 OpenAI 服務執行個體
當 Azure OpenAI 服務執行個體設定成可公開存取時,所有網路 (包括網際網路) 都能存取該執行個體,如此將提高未經授權存取、潛在資安事件,以及違反法規情況的風險。若要限制只能透過某些受信任的網路來存取,您必須設定您 OpenAI 執行個體的網路存取規則。如此一來,唯有經過授權、來自您 Azure 虛擬網路 (VNet) 或受信任 IP 位址的流量才能與 OpenAI 執行個體互動,進而防止未經授權的存取,保護您的 AI 工作負載和資料。進一步了解
在 Azure Machine Learning 工作空間內使用系統指派的託管身分 (Managed Identity)
此一最佳實務原則可確保您的 Azure Machine Learning (ML) 工作空間使用的是系統指定的託管身分,以便安全地存取其他 Microsoft Azure 所保護的資源,例如:金鑰保險箱 (Key Vault) 和儲存帳號 (storage account)。在 Azure ML 工作空間使用系統指派的託管身分可提高安全性,讓 ML 工作空間不需特別提供登入憑證就能通過 Azure 資源的認證與授權,降低登入憑證管理的相關風險,並與其他雲端無縫、且更安全地整合。進一步了解
GCP AI 最佳實務原則:
停用 Workbench 執行個體的系統管理員 (root) 存取功能
此一最佳實務原則可確保您的 Google Cloud Vertex AI 筆記本執行個體的系統管理員存取功能被停用,藉由限制執行個體內的系統管理權限來降低系統遭意外或惡意破壞的風險。停用您 Google Cloud Vertex AI 筆記本執行個體的系統管理員存取功能,可降低未經授權修改的風險、防止系統管理員權限遭誤用或濫用,進而提升安全性,並有助於維護一個更嚴格管控、且更安全的 AI 環境。進一步了解
Vertex AI 資料集加密與客戶管理的加密金鑰
此一最佳實務原則可確保您的 Google Cloud Vertex AI 資料集皆採用客戶管理的加密金鑰 (CMEK) 來加密,讓您完全掌控資料加密和解密的流程。
在預設情況下,Google Cloud 會自動使用 Google 管理的加密金鑰 (GMEK) 來將 Vertex AI 資料集 (資料項目和註解) 加密。然而,對於那些法規遵循與資安需求更為嚴格的企業來說,他們可以在現有的資料加密基礎之上再添加 CMEK 加密,如此就能讓企業掌控及管理 Vertex AI 資料集的加密。進一步了解
關於 Trend Micro AI Security Posture Management
Trend Micro ASRM for Cloud AI Security Posture Managment 可偵測 AI 服務的組態設定錯誤,並提供逐步矯正指引來修正這些組態設定錯誤。
此外,還可以發掘雲端身分風險以及企業可能遭到攻擊的途徑。
如需更多有關 Trend Micro Cloud ASRM AI SPM 的資訊,請參閱以下資源:
https://www.trendmicro.com/en_us/business/products/hybrid-cloud.html#tabs-4092ca-1