2024年OWASP GenAI安全指引:應對Deepfakes(深偽技術)和AI(人工智慧)威脅的基本策略

為因應GenAI日益增長的影響力及原有的安全風險,OWASP對其GenAI安全指引,更進一歩擴增其安全防範。此次更新重點是保護利用GenAI功能的組織,並提供解決Deepfakes(深偽技術)註1問題的實用策略、建立AI卓越中心以及駕馭日益多樣化的GenAI解決方案環境。

深入剖析OWASP的擴增GenAI指引

OWASP 2024年最新安全指引,承認了這類不斷變化更新的安全威脅,並提出針對現今人工智慧(AI)和網路安全專業人員面臨的網路安全挑戰,而量身定制的框架與工具。本指引擴增的關鍵組成部分包括下列幾項:

Deepfake偵測與管理:

Deepfakes為各行各業帶來了全面新的挑戰與機遇,特別是在身份驗證和電子郵件社交工程威脅方面。OWASP指引提供了一個強大的安全框架,其功能用於偵測、管理和減輕深偽技術(Deepfakes)內容造成的潛在威脅與損害。這包括影像驗證、合成內容識別技術等,以及用於人工智慧訓練具有反合成功能的機器學習模型來提高偵測準確性的相關協定。

建立人工智慧安全卓越中心(Center of Excellence, CoE):

建立人工智慧安全卓越中心(Center of Excellence, CoE),其旨在協助組織建立專業的內部團隊來管理與監控GenAI的使用,使最佳實踐與人工智慧的發展能保持一致性,並確保安全措施與人工智慧技術不斷保持一致的進步。OWASP概述了啟動建立人工智慧安全卓越中心流程的路線圖,指導組織透過團隊開發、跨部門協作和集中式AI 風險管理來培養優先考量AI的安全環境。

GenAI安全解決方案指引:

鑑於GenAI應用程式和工具的快速發展,確認正確的解決方案可用來保護可能面臨的挑戰與風險。OWASP最新指引為網路安全團隊提供GenAI領域基本工具的指引,涵蓋資料完整性、模型穩健性、異常檢測和端點對端點AI安全性等相關領域。透過制定這些解決方案,OWASP支援組織建立滿足其特定營運與監管等需求的安全工具包。

為什麼OWASP擴增安全指引如今至關重要

值得關注的是,隨著GenAI在各行各業的史無前例的成長,各組織將面臨著越來越大「創新」與「有責使用」之間平衡的壓力。生成式人工智慧功能可引進到新型利用載體,從人工​​智慧驅動的假資訊到資料隱私外洩。相應地,OWASP的擴增安全指引,是提供涵蓋「治理」、「技術解決方案」和「端點到端端GenAI安全最佳實踐與方法,用來應對多方面的安全挑戰。

網路安全專業人員對擴增安全指引的實施見解

OWASP 2024年擴增後的GenAI 安全指引,既可作為網路安全專家的概念框架,亦可以作為實用性工具包。以下是專業人士如何有效利用安全指引:

  • 首先,應該實施deepfake檢測工具,並建立內部協議來定期測試和改善這些工具。此外,教育訓練組織員工如何識別合成內容並制定處理深度偽造事件的相對應作業程序,便可減少最大程度地潛在損害。
  • 再則,考慮採用分階段的方法來建立人工智慧安全卓越中心(Center of Excellence, CoE),從核心團隊開始,然後在資源允許的情況下擴大規模。此外,在CoE內為模型驗證、人工智慧道德和合規性分配明確的角色,以確保人工智慧安全是跨職能的責任,而不是孤立的舉措。
  • 最後,利用OWASP所推薦的GenAI安全工具並確定最適合組織的 AI用例的工具。此外,應優先考慮監控、異常偵測和資料隱私工具,以確保安全的人工智慧環境。

總之,OWASP安全指引,凸顯了GenAI 安全性的持續性進步的必要性。隨著AI應用程式及其相應安全要求的發展,諸如OWASP GenAI安全指引之類的框架對於提供方向性和專業知識將至關重要。OWASP 2024年最新GenAI 安全指引,透過針對性的策略擴增這些原則,以解決生成式AI中的獨特安全風險。這些資源共同提供了一個用於保護高階人工智慧應用程式的綜合工具包。

註1深度偽造(Deepfake),簡稱深偽,是英文「deep learning」(深度學習)和「fake」(偽造)的混成詞,專指基於人工智慧人體圖像合成技術的應用。此技術可將已有的圖像或影片疊加至目標圖像或影片上。偽造面部表情並將其呈現至目標影片的技術在2016年出現,此技術允許近實時偽造文書現有2D影片中的面部表情

本文參考自:https://genai.owasp.org/resource/guide-for-preparing-and-responding-to-deepfake-events/