作者:董仁源,JFag大中華區總經理。
隨著 AI 應用程式的不斷擴充套件和大型語言模型 (LLM) 的商業化,開發人員越來越多地需要將人工智慧 (AI) 和機器學習 (ML) 模型與軟體更新或新軟體打包在一起。 雖然 AI ML 在創新方面有很多優勢,但它也加劇了人們的擔憂,因為許多開發人員沒有足夠的頻寬來安全地管理他們的開發。
安全漏洞可能會無意中將惡意**引入 AI ML 模型,使威脅參與者有機會引誘開發人員使用 OSS 模型變體滲透到公司網路並對組織造成進一步損害。 甚至在某些情況下,開發人員越來越多地使用生成式人工智慧進行創作,但不知道他們的生成是否受到損害,這也可能導致長期的安全威脅。 因此,從一開始就進行適當的審查非常重要,以便主動減少對軟體鏈的損害威脅。
隨著威脅行為者找到利用 AI ML 模型的方法,威脅將繼續困擾安全團隊。 隨著安全威脅的數量和規模不斷增長,到 2024 年,開發人員將更加重視安全性並部署必要的保護措施,以確保其企業的彈性。
開發人員角色的演變
對於開發人員來說,在軟體生命週期開始時就考慮到安全性是一種相對較新的做法。 通常情況下,二進位級別的安全性被認為只是“錦上添花”。 威脅行為者將利用這種疏忽,尋找針對組織對 ML 進行建模的方法,尋找將惡意邏輯注入最終二進位檔案的方法。
同樣,許多開發人員無法在開發的初始階段嵌入安全性,因為他們沒有接受過必要的培訓。 這樣做的主要影響是,在開源儲存庫上生成和訓練的人工智慧通常沒有經過適當的漏洞審查,並且缺乏全面的安全控制來保護使用者及其組織免受攻擊。 雖然這可以節省工作職能的時間和其他資源,但開發人員在不知不覺中將他們的組織暴露在眾多風險中。 一旦這些漏洞在 AI ML 模型中實現,這些漏洞將產生更嚴重的影響,並且可能不會被發現。
隨著人工智慧的廣泛應用,傳統的開發者角色已不足以應對不斷變化的安全環境。 隨著我們進入 2024 年,開發人員還必須成為安全專業人員,這強化了 DevOps 和 DevSecOps 不再被視為獨立工作職能的想法。 通過從一開始就構建安全解決方案,開發人員不僅可以確保關鍵工作流程的最大效率,還可以增強對組織安全性的信心。
通過“左移”,從一開始就安裝了防護裝置
如果安全團隊要在新的一年裡對威脅保持警惕,ML模型的安全性必須繼續發展。 然而,隨著人工智慧的大規模採用,團隊直到軟體生命週期的後期才能確定必要的安全措施,因為到那時,可能真的為時已晚。
負責安全的組織的最高管理層必須在軟體開發中“向左”移動。 通過堅持這種方法,您可以從一開始就保護軟體開發生命週期的所有元件,並改善整個組織的安全狀況。 當應用於AI ML時,左移不僅可以確認在外部AI ML系統中開發的**是否安全,還可以確保正在開發的AI ML模型不是惡意的,符合許可要求。
展望 2024 年及以後,圍繞 AI 和 ML 模型的威脅將持續存在。 如果團隊要持續防禦來自威脅參與者的攻擊並保護其組織和客戶,那麼確保從軟體生命週期的開始就內建安全性至關重要。
###關於JFather
jfrog ltd.納斯達克青蛙的使命是創造乙個從開發人員到裝置的無摩擦軟體交付世界。 秉承“流式軟體”的概念,JFaser Software Chain平台是乙個統一的記錄系統,幫助企業快速安全地構建、管理和分發軟體,確保軟體可用、可追溯、防篡改。 整合的安全功能還有助於識別、防禦和修復威脅和漏洞。 JFathle 的混合通用多雲平台可作為自託管和 SaaS 服務提供,適用於多個主要雲服務提供商。 全球數百萬使用者和 7,000 多家客戶(包括大多數財富 100 強公司)依靠 jfrog 解決方案實現安全的數位化轉型。 使用它,你就會知道! 欲瞭解更多資訊,請訪問jfrogchinacom或***的微信公眾號:jfrog。