作者:董仁源,JFag大中华区总经理。
随着 AI 应用程序的不断扩展和大型语言模型 (LLM) 的商业化,开发人员越来越多地需要将人工智能 (AI) 和机器学习 (ML) 模型与软件更新或新软件打包在一起。 虽然 AI ML 在创新方面有很多优势,但它也加剧了人们的担忧,因为许多开发人员没有足够的带宽来安全地管理他们的开发。
安全漏洞可能会无意中将恶意**引入 AI ML 模型,使威胁参与者有机会引诱开发人员使用 OSS 模型变体渗透到公司网络并对组织造成进一步损害。 甚至在某些情况下,开发人员越来越多地使用生成式人工智能进行创作,但不知道他们的生成是否受到损害,这也可能导致长期的安全威胁。 因此,从一开始就进行适当的审查非常重要,以便主动减少对软件链的损害威胁。
随着威胁行为者找到利用 AI ML 模型的方法,威胁将继续困扰安全团队。 随着安全威胁的数量和规模不断增长,到 2024 年,开发人员将更加重视安全性并部署必要的保护措施,以确保其企业的弹性。
开发人员角色的演变
对于开发人员来说,在软件生命周期开始时就考虑到安全性是一种相对较新的做法。 通常情况下,二进制级别的安全性被认为只是“锦上添花”。 威胁行为者将利用这种疏忽,寻找针对组织对 ML 进行建模的方法,寻找将恶意逻辑注入最终二进制文件的方法。
同样,许多开发人员无法在开发的初始阶段嵌入安全性,因为他们没有接受过必要的培训。 这样做的主要影响是,在开源存储库上生成和训练的人工智能通常没有经过适当的漏洞审查,并且缺乏全面的安全控制来保护用户及其组织免受攻击。 虽然这可以节省工作职能的时间和其他资源,但开发人员在不知不觉中将他们的组织暴露在众多风险中。 一旦这些漏洞在 AI ML 模型中实现,这些漏洞将产生更严重的影响,并且可能不会被发现。
随着人工智能的广泛应用,传统的开发者角色已不足以应对不断变化的安全环境。 随着我们进入 2024 年,开发人员还必须成为安全专业人员,这强化了 DevOps 和 DevSecOps 不再被视为独立工作职能的想法。 通过从一开始就构建安全解决方案,开发人员不仅可以确保关键工作流程的最大效率,还可以增强对组织安全性的信心。
通过“左移”,从一开始就安装了防护装置
如果安全团队要在新的一年里对威胁保持警惕,ML模型的安全性必须继续发展。 然而,随着人工智能的大规模采用,团队直到软件生命周期的后期才能确定必要的安全措施,因为到那时,可能真的为时已晚。
负责安全的组织的最高管理层必须在软件开发中“向左”移动。 通过坚持这种方法,您可以从一开始就保护软件开发生命周期的所有组件,并改善整个组织的安全状况。 当应用于AI ML时,左移不仅可以确认在外部AI ML系统中开发的**是否安全,还可以确保正在开发的AI ML模型不是恶意的,符合许可要求。
展望 2024 年及以后,围绕 AI 和 ML 模型的威胁将持续存在。 如果团队要持续防御来自威胁参与者的攻击并保护其组织和客户,那么确保从软件生命周期的开始就内置安全性至关重要。
###关于JFather
jfrog ltd.纳斯达克青蛙的使命是创造一个从开发人员到设备的无摩擦软件交付世界。 秉承“流式软件”的概念,JFaser Software Chain平台是一个统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯、防篡改。 集成的安全功能还有助于识别、防御和修复威胁和漏洞。 JFathle 的混合通用多云平台可作为自托管和 SaaS 服务提供,适用于多个主要云服务提供商。 全球数百万用户和 7,000 多家客户(包括大多数财富 100 强公司)依靠 jfrog 解决方案实现安全的数字化转型。 使用它,你就会知道! 欲了解更多信息,请访问jfrogchinacom或***的微信公众号:jfrog。