企業如何在生成式AI時代進行“安全的創新”

生成式人工智慧（生成式AI）正在成為任何人都無法忽視的生產力變數。在它的面前，以往的知識與技能壁壘開始鬆動甚至坍塌，併為各領域機構的創新帶來新的無窮可能性。

但企業利用生成式AI進行業務創新的同時也不免面臨新的隱憂。企業或機構向生成式AI模型提供資料——很可能是涉及核心業務及客戶資訊等關鍵資料——是否能被妥善地保管、使用，及進行必要的隔離；還有生成式AI的一些“固有問題”，如怎樣實現負責任的AI，過濾有害內容，確保內容符合當地及企業政策等問題……

通常情況下，規模化生成式AI應用都發生在雲端，更多企業機構也將依賴於雲開展生成式AI的業務創新。因此，我們可以將生成式AI的安全話題，看作是對雲端計算安全提出的新挑戰。

亞馬遜雲科技對AI的研究已持續數年，其中包括生成式AI應用被廣泛應用後產生的安全需求演變。對於雲端計算安全，亞馬遜雲科技的態度是一貫的——在業務初期就考慮安全因素，主動設計而不是被動響應。聚焦到生成式AI相關服務、功能及應用，亞馬遜雲科技在其安全的基礎設施之上，在生成式AI服務及功能設計之初就充分考慮了安全因素，並進一步構建了負責任AI的防護機制。與此同時，亞馬遜雲科技也在利用生成式AI來賦能已有的或新推出的安全服務。這些舉措幫助亞馬遜雲科技的客戶在使用生成式AI服務時能獲得不遜色於以往任何時候的安全體驗。

從底層基礎設施層面實現對生成式AI工作負載資料的隔離與加密保護

企業使用生成式AI最大的顧慮之一是如何保護他們的資料及隱私安全。企業可能會使用高度敏感的如個人資料、合規資料、運營資料和財務資訊用於模型最佳化或使用生成式AI應用。

企業為了安全地使用生成式AI，首先應考慮三個問題：1）資料在哪裡？企業需要知道用資料訓練模型的整個工作流程中，這些資料來自哪，以及是如何被處理和保護的。2）如何處理模型推理時的輸入和輸出資料？訓練資料並不是企業需要關注的唯一敏感資料集，企業查詢本身也應該成為資料保護計劃的一部分。3）生成式AI模型的輸出是否準確？不同的生成式AI的使用場景對準確度和風險的要求不同。如果企業正在使用大型語言模型來生成程式碼，那麼企業就必須要確認這個程式碼是否寫得足夠好，是否遵循了企業的最佳實踐等等。

亞馬遜雲科技對客戶生成式AI的保護始於其基礎設施。亞馬遜雲科技獨有的雲伺服器虛擬化引擎Amazon Nitro將主機CPU/GPU的I/O功能解除安裝至專門的硬體上，不但提供了更加一致的效能，其增強的安全性可以在客戶端和雲端全程保護客戶的程式碼和資料在處理過程中的安全。這一獨有的功能已經獲得了領先的網路安全公司NCC Group的獨立驗證。

Nitro系統提供的硬體級別的安全機制，首先從設計上將客戶資料與運營商進行完全隔離，即亞馬遜雲科技作為運營商無法訪問客戶在Amazon Elastic Compute Cloud (Amazon EC2)例項上執行的包括生成式AI相關在內的工作負載或資料。其次，客戶還可以透過Amazon Nitro Enclaves和Amazon Key Management Service（Amazon KMS），使用金鑰加密敏感的生成式AI資料，將其儲存在指定的位置，並安全地將加密資料傳輸到隔離的計算環境中進行推理計算。此外，亞馬遜雲科技還將Amazon Nitro Enclaves和Amazon KMS端到端加密流程進一步擴充套件到如Amazon Trainium2和其他GPU，進一步增強使用者生成式AI資料在基礎設施裝置間的安全通訊。

在生成式AI服務的設計之初就考慮安全性，併成為負責任的AI

除了構建安全的全球雲基礎設施，亞馬遜雲科技的安全不止安全服務，其所有服務均有安全基線。亞馬遜雲科技提倡在新服務設計初期就考慮安全因素。

以生成式AI完全託管服務Amazon Bedrock為例，作為一項為讓客戶便捷地使用基礎模型構建和擴充套件生成式AI應用程式的雲服務，Amazon Bedrock在設計之初就考慮瞭如何發揮基礎設施安全能力，以及AI服務本身的安全需求。亞馬遜雲科技和第三方模型提供商不會使用 Amazon Bedrock 的任何輸入或輸出來訓練其基礎模型。在使用Amazon Bedrock時，客戶的資料在傳輸過程中和靜態儲存時都經過加密，客戶的所有資料都是始終安全且私密的。客戶可以使用Amazon PrivateLink建立從Amazon Virtual Private Cloud（Amazon VPC）到Amazon Bedrock的私有連線；或者採用基於身份識別的安全策略，例如在使用Amazon KMS建立、管理和控制加密金鑰時，定義哪些使用者或角色可以在什麼條件下對哪些資源執行什麼操作。

對於雲端計算使用者來說，資料與隱私安全並非生成式AI帶來的“新話題”。但生成式AI也確實帶來了像“負責任的AI（Responsible AI）”這種AI時代獨有的安全考驗。當客戶在使用Amazon Bedrock這類生成式AI服務時，不得不考慮過濾有害內容，確保內容符合當地及企業政策等問題。

為此，Amazon Bedrock配備了幫助客戶實施負責任AI的防護機制（Guardrails for Amazon Bedrock）。相比於一些AI大模型僅透過內部控制模組來過濾內容，Amazon Bedrock的防護機制能讓客戶進一步定製AI應用程式，以便符合不同標準的內容政策。

客戶只需提供一個自然語言描述來定義其應用程式上下文中被拒絕的主題，即可建立個性化的防護機制，還可以配置閾值，跨領域過濾諸如仇恨言論、侮辱、暴力等語言，以及設定過濾器來刪除任何個人和敏感資訊、褻瀆言論或特定的遮蔽詞。透過這種“內建+定製”的雙重防護機制，更大限度保證基於生成式AI的業務能良好實踐負責任的AI要求。

藉助生成式AI的能力讓安全更易實現

在雲環境中，生成式AI並不僅僅是“被保護者”，它本身也能成為提升安全的強大工具，從業務初期就能揭示那些潛伏的、未被意識到的風險。

程式碼編寫方式是資訊保安中最大的變數之一，一些小問題就可能導致嚴重的安全後果。包括生成式AI模型本質上也是程式碼，也可能因為程式碼編寫的漏洞而存在安全隱患。從安全形度來看，從一開始就編寫出安全的程式碼，無疑比在編寫完成後，已經進行了測試，甚至已經交付後再去修改要好得多。

為了幫助雲端計算客戶達成符合安全需求的程式碼編寫，亞馬遜雲科技將AI能力運用到程式碼生成器上，以服務或功能的方式提供給客戶。

亞馬遜雲科技推出的用於IDE（整合開發環境）和命令列的AI生產力工具Amazon Q Developer，是一個以機器學習為動力的程式碼生成器，直接在整合開發環境中為開發者提供實時程式碼建議。Amazon Q Developer不僅能極大提升開發者的編碼效率，而且還能讓程式碼更加安全。它內建了安全掃描功能，能夠掃描程式碼以檢測難以發現的漏洞，並根據客戶的程式碼，提供專屬修復建議，幫助開發者及時快速修復該漏洞。

Amazon Q Developer同樣為客戶提供了定製化的選擇，以便使用自己的私有程式碼庫來提升產出成果。為了確保用於開發的資料處於隔離計算環境，以及防止一切未經授權的訪問，Amazon Q Developer設定了一系列不可變更的安全機制，包括不同工作負載之間的資料隔離，Amazon KMS對靜態資料的加密，基於身份認證的資料訪問授權，以及資料儲存時的加密和強制隔離。

一些原有的安全服務也正在逐漸透過生成式AI獲得新的功能。例如漏洞管理服務Amazon Inspector，它的Amazon Lambda函式程式碼掃描功能從去年開始使用生成式AI和自動推理的輔助程式碼修復，以簡化更新易受攻擊程式碼的過程。Amazon Detective也在去年增加了使用生成式AI來構建安全事件描述的能力。生成式AI可以自動分析調查發現組並以自然語言提供洞察，幫助安全工程師加快安全調查。

這些基於生成式AI的創新服務和新的升級，為安全工作創造了更便捷、更高效的新可能。我們可以期待，企業的安全工程師將能夠以更少的工作負擔來達成目標，使企業得以更從容地應對各類安全風險。

寫在最後

在不遠的未來，生成式AI將如同當下的網際網路與雲端計算一樣變得無處不在。儘管新的數字技術產物也將無可避免地帶來新的安全挑戰，但我們無需為此過分擔憂。成熟的安全防護機制，加上新的安全功能，足以為雲上生成式AI業務構建起可靠的安全環境。生成式AI本身也成為安全創新的助力，讓新的安全功能更具主動性，更加簡單易用。

雲端計算廠商積累的經驗與智慧，將繼續在AI時代護航使用者的安全——經歷過數次重大技術變革之後，安全工作者愈發知道如何應對變革，讓新事物的到來可控且有序。