开源AI的安全隐患:如何在数字化时代确保软件供应链的安全

安全 应用安全
在开源社区开发的应用程序往往面临很大的安全挑战,因为它们是免费的、广泛可用的,并且由志愿者支持。即使一个主要的开源AI项目尚未被入侵,也只是时间问题而已。

在开源社区开发的应用程序往往面临很大的安全挑战,因为它们是免费的、广泛可用的,并且由志愿者支持。即使一个主要的开源AI项目尚未被入侵,也只是时间问题而已。

因此,让我们探讨为什么开源AI缺乏安全性,以及安全专业人员可以采取哪些措施来改善这一情况。

回到未来:AI即软件

首先,必须承认AI并不是与软件不同的东西;它本质上是软件。因此,它是IT系统操作的一部分,也属于软件供应链的一部分。AI应该像对待任何其他代码或工件一样对待。

同样值得注意的是,软件供应链安全不仅仅是关于Web应用程序、命令行工具或其他通常被认为是软件的东西,它保护企业在开发、分发和部署软件时的每一个组件和过程,可以将其视为应用于系统交付生命周期(SDLC)的网络安全。软件开发的每个阶段,从编码和构建到生产、部署和维护,都涉及其中,并且需要确保安全。

AI软件供应链中可能出错的地方

AI供应链中的挑战与更广泛的软件供应链中的挑战相似,但在将大型语言模型(LLM)或机器学习(ML)模型集成到企业的框架中时,增加了复杂性。

例如,考虑一个金融机构希望利用AI模型进行贷款风险评估的场景,这个应用程序需要仔细审查AI模型的软件供应链和训练数据来源,以确保符合监管标准,例如禁止在贷款审批过程中使用受保护类别。

举例来说,让我们看看银行如何将AI模型整合到其贷款风险评估程序中。法规要求严格遵守贷款审批标准,禁止使用种族、性别、国籍等人口统计数据作为决定性因素。因此,银行必须考虑和评估AI模型的软件和训练数据供应链,以防止可能导致法律或监管问题的偏见。

这个问题超出了个别企业的范围。更广泛的AI技术生态系统面临着令人担忧的趋势。最近的研究表明,开源AI软件工具的安全状态与其受欢迎程度呈反比。简而言之,开源AI工具或模型的采用越广泛,其可能存在的安全漏洞就越多。

此外,基于潜在非法或不道德数据训练的开源AI模型的普遍存在,给用户带来了重大的法律和监管风险,这种风险突显了在AI供应链中采取加强措施以确保安全使用的必要性。尽管AI的未来充满希望,但解决这些挑战对其负责任的采用和持续成功至关重要。

安全专业人员可以采取的措施

确保开源安全需要在多个方面进行关注,包括:

  • 安全规范:倡导在开源社区内实现更大的透明度和责任制,要求提供必要的安全元数据,例如软件物料清单(SBOM)、SLSA(软件工件供应链级别)和SARIF(静态分析结果交换格式)。
  • 开源安全工具:与支持安全项目的公司合作,如Allstar、GUAC和in-toto声明,以分担一些责任,同时仍然从开源创新中受益。
  • 行业贡献和开源资金:支持像开源安全基金会(OpenSSF)这样的组织,该基金会开发规范、工具和倡议以确保关键开源项目的安全性。

CISO及其安全团队需要了解其企业环境中的软件信息,以确保其安全性,有了这些信息,CISO可以就集成到环境中的软件组件做出明智的、基于风险的决策。仅依赖志愿者的安全努力而不进行贡献或投资是不可持续且无效的。

责任编辑:华轩 来源: 企业网D1Net
相关推荐

2022-03-10 08:16:14

Kubernetes软件供应链

2023-10-30 14:33:27

2018-05-29 15:24:00

2023-02-23 07:52:20

2020-08-04 10:18:05

人工智能供应链AI

2023-11-20 10:26:12

2021-09-07 09:18:47

数字化时代网络安全数字安全

2020-08-19 14:21:37

供应链安全数据泄露

2018-09-01 05:01:54

2021-11-22 10:27:16

深信服

2016-09-08 19:01:07

Docker内网安全软件供应链

2021-06-18 14:36:39

Google软件供应链安全框架

2021-07-26 12:14:57

数字化数据案例数据孤岛

2022-11-03 10:55:15

2022-07-18 17:55:56

软件供应链安全

2024-07-19 07:45:36

2023-01-12 11:15:58

2022-10-08 08:50:24

CIO供应链数据
点赞
收藏

51CTO技术栈公众号