為因應GenAI日益增長的影響力及原有的安全風險,OWASP對其GenAI安全指引,更進一歩擴增其安全防範。此次更新重點是保護利用GenAI功能的組織,並提供解決Deepfakes(深偽技術)註1問題的實用策略、建立AI卓越中心以及駕馭日益多樣化的GenAI解決方案環境。
深入剖析OWASP的擴增GenAI指引
OWASP 2024年最新安全指引,承認了這類不斷變化更新的安全威脅,並提出針對現今人工智慧(AI)和網路安全專業人員面臨的網路安全挑戰,而量身定制的框架與工具。本指引擴增的關鍵組成部分包括下列幾項:
Deepfake偵測與管理:
Deepfakes為各行各業帶來了全面新的挑戰與機遇,特別是在身份驗證和電子郵件社交工程威脅方面。OWASP指引提供了一個強大的安全框架,其功能用於偵測、管理和減輕深偽技術(Deepfakes)內容造成的潛在威脅與損害。這包括影像驗證、合成內容識別技術等,以及用於人工智慧訓練具有反合成功能的機器學習模型來提高偵測準確性的相關協定。
建立人工智慧安全卓越中心(Center of Excellence, CoE):
建立人工智慧安全卓越中心(Center of Excellence, CoE),其旨在協助組織建立專業的內部團隊來管理與監控GenAI的使用,使最佳實踐與人工智慧的發展能保持一致性,並確保安全措施與人工智慧技術不斷保持一致的進步。OWASP概述了啟動建立人工智慧安全卓越中心流程的路線圖,指導組織透過團隊開發、跨部門協作和集中式AI 風險管理來培養優先考量AI的安全環境。
GenAI安全解決方案指引:
鑑於GenAI應用程式和工具的快速發展,確認正確的解決方案可用來保護可能面臨的挑戰與風險。OWASP最新指引為網路安全團隊提供GenAI領域基本工具的指引,涵蓋資料完整性、模型穩健性、異常檢測和端點對端點AI安全性等相關領域。透過制定這些解決方案,OWASP支援組織建立滿足其特定營運與監管等需求的安全工具包。
為什麼OWASP擴增安全指引如今至關重要
值得關注的是,隨著GenAI在各行各業的史無前例的成長,各組織將面臨著越來越大「創新」與「有責使用」之間平衡的壓力。生成式人工智慧功能可引進到新型利用載體,從人工智慧驅動的假資訊到資料隱私外洩。相應地,OWASP的擴增安全指引,是提供涵蓋「治理」、「技術解決方案」和「端點到端端GenAI安全最佳實踐與方法,用來應對多方面的安全挑戰。
網路安全專業人員對擴增安全指引的實施見解
OWASP 2024年擴增後的GenAI 安全指引,既可作為網路安全專家的概念框架,亦可以作為實用性工具包。以下是專業人士如何有效利用安全指引:
總之,OWASP安全指引,凸顯了GenAI 安全性的持續性進步的必要性。隨著AI應用程式及其相應安全要求的發展,諸如OWASP GenAI安全指引之類的框架對於提供方向性和專業知識將至關重要。OWASP 2024年最新GenAI 安全指引,透過針對性的策略擴增這些原則,以解決生成式AI中的獨特安全風險。這些資源共同提供了一個用於保護高階人工智慧應用程式的綜合工具包。
註1深度偽造(Deepfake),簡稱深偽,是英文「deep learning」(深度學習)和「fake」(偽造)的混成詞,專指基於人工智慧的人體圖像合成技術的應用。此技術可將已有的圖像或影片疊加至目標圖像或影片上。偽造面部表情並將其呈現至目標影片的技術在2016年出現,此技術允許近實時地偽造文書現有2D影片中的面部表情。
本文參考自:https://genai.owasp.org/resource/guide-for-preparing-and-responding-to-deepfake-events/