我最近有机会在洛杉矶的一场活动后台与谷歌云首席运营官弗朗西斯·德索萨(Francis de Souza)进行了交谈。周围喧闹声不断,德索萨以大学教授般冷静而沉稳的语气,分享了他对企业在当前人工智能安全环境中应对策略的见解。他指出,“这将经历一个过渡期,然后我们会达到一个更好的状态。”
当时他并非专指谷歌,但显然即使是谷歌也仍在摸索中。
德索萨的核心观点是安全不能被视为事后补救的措施,这一点安全专家多年来一直试图让高管们理解,而人工智能的兴起使这一点变得更加紧迫。他强调:“企业在踏上人工智能之旅时,必须采取平台化的思路。安全不是可以后期附加的东西,也不能完全依赖员工自行处理。”他特别警告了“影子人工智能”的风险——员工未经组织监管使用消费者级工具。他认为企业必须从一开始就要求平台具备安全性、治理能力和审计能力。“没有数据战略和安全战略的人工智能战略是不存在的,三者必须齐头并进。”
值得注意的是,他并非仅仅为谷歌云做宣传。当我指出他的建议听起来像是在推销谷歌时,他表示反对。谷歌致力于多云策略,他认为那些自认为只使用单一云的企业实际上并非如此。“即使选择了单一云,他们也依赖SaaS应用,业务合作伙伴可能使用不同的云环境,”他说,“企业必须在不同云和不同模型之间保持一致的安全态势。”
他还指出,威胁环境已经发生根本变化,传统防御模式反应太慢。他提到,从初次入侵到攻击下一阶段的平均时间已从8小时缩短到22秒,攻击面也远远超出了传统网络边界。“除了常规资产外,现在还有模型、用于训练模型的数据管道、代理和提示,这些都需要保护。”
德索萨特别提到一个常被忽视的威胁:代理在企业内部系统中活动时,可能会发现多年未被关注的旧数据仓库。“许多组织有旧的SharePoint服务器和未更新的访问控制,以前没人注意到它们的位置,但代理在企业中游走时会找到这些数据资产并暴露其中数据。”
他的解决方案是以机器速度应对机器速度。“我们现在看到一种原生AI、完全自主的防御方式出现,组织可以运行代理来驱动防御,”他说,“不再是人类主导防御或人类参与其中,而是人类监督完全自主的防御。”他补充说,这已成为领导层的问题,而不仅仅是技术问题。“这是董事会和高管团队需要关注的,而不仅仅是安全团队的责任。”
然而,尽管AI承担了更多防御任务,具备资格监督AI安全的人才仍然稀缺,而AI带来的漏洞增长速度远超安全团队的应对能力。LinkedIn首席信息安全官Lea Kissner本周告诉《纽约时报》,我们将面临“漏洞灾难”,并预计业界至少需要数年时间才能对AI安全形成可持续的理解。
这也让人们关注平台提供商自身的问题。《The Register》近几周发布了一系列报道,揭示谷歌云开发者因未经授权的API调用Gemini模型而遭遇数万元账单的情况——许多开发者甚至未曾使用或启用这些服务。事件模式相似:最初为谷歌地图部署的API密钥按谷歌指示公开放置,后来谷歌扩大了密钥权限范围,却未明确告知用户,导致密钥可访问Gemini。
面试准备平台Prentus的CEO Rod Danan表示,他的账户在约30分钟内因攻击者利用被盗API密钥产生了超过1万美元的费用。悉尼开发者Isuru Fonseka的账户也遭入侵,尽管他设定了250美元的消费上限,仍被扣费约1.7万澳元。两人都不知道谷歌的自动系统根据账户历史提升了计费等级,最高可达10万美元,且未征得明确同意。
《The Register》报道后,谷歌为两人退款,但表示不会改变自动升级计费等级的政策,称优先保证服务不中断高于执行用户预算限制。
此外,开发者尝试关闭密钥时也存在问题。安全公司Aikido的研究发现,即使开发者发现密钥被盗并立即删除,攻击者仍可在23分钟内继续使用该密钥,因为谷歌的撤销操作在其基础设施中逐步传播。Aikido研究员Joseph Leon告诉《The Register》,在此期间请求成功率不可预测,有时超过90%,攻击者可利用这段时间窃取文件和Gemini缓存的对话数据。
Leon还指出,谷歌较新的凭证格式不存在此问题:服务账户API凭证撤销约需5秒,Gemini的新型AQ前缀密钥约需1分钟。“两者均在谷歌规模下运行,表明技术上可解决谷歌API密钥的撤销延迟问题。”换言之,23分钟的窗口不是技术限制,而是公司优先级的体现。
这值得我们在听取德索萨建议时深思。他的建议非常合理且应被认真对待,但目前平台方的建议与其自身适应速度之间存在差距,了解这一点同样重要。
