对人工智能零信任：从头开始构建安全体系

译者 | 李睿

审校 | 重楼

随着人工智能持续推动各行业变革，其在关键应用中的作用正在呈指数级增长。然而，随着这些创新的不断涌现，人们越来越担心这一问题——如何保证人工智能系统的安全？与传统应用程序不同，人工智能处理的是高度敏感的数据、复杂的模型和庞大的网络，这些数据和网络并不完全符合传统安全措施的要求。

传统的安全模型建立在定义的网络边界内的信任假设之上，但在保护人工智能工作流的高度分散性、动态性和敏感性方面显得力不从心。在人工智能技术的广泛应用中，敏感数据、复杂模型与分布式系统紧密交织、相互融合。零信任提供了一种主动和全面的安全方法。

本文探讨了对人工智能零信任的必要性，指导其应用的基本原则，以及从设计之初就能有效保护人工智能系统的具体策略与实践方法。

为什么人工智能需要零信任

人工智能系统带来了独特的安全挑战：

• 数据敏感性：人工智能模型在庞大的数据集上进行训练，这些数据集通常包括敏感信息或专有信息。一旦泄露，可能导致数据外泄或知识产权被盗。
• 模型漏洞：人工智能模型可能容易受到各种风险的影响，例如对抗性攻击、模型中毒和推理攻击。
• 分布式生态系统：人工智能工作流通常跨越云计算环境、边缘计算设备和API，从而增加了攻击面。
• 动态性：人工智能模型和依赖关系的不断演变需要自适应的安全措施。

鉴于这些挑战，实施零信任原则可以确保采取积极主动的方法来保护人工智能系统。

人工智能系统的独特安全需求

虽然“永不信任，始终验证”的零信任原则广泛适用于各种类型的应用程序，但与微服务等更传统的应用程序相比，为人工智能系统实施零信任带来了独特的挑战和要求。这些差异是由于人工智能工作流、数据敏感性和运营动态的不同性质造成的。以下是主要区别：

• 数据敏感性和生命周期：人工智能系统主要依赖敏感数据集进行训练和推理。人工智能中的数据生命周期包括摄取、存储、训练和部署，每个环节都需要精心保护。
• 模型漏洞：人工智能模型容易受到模型中毒、对抗性输入和推理攻击等网络攻击。保护这些资产需要关注模型完整性和对抗性防御。
• 分布式生态系统：人工智能工作流跨越云计算、边缘计算和内部部署环境，使得难以执行一致的零信任策略。
• 动态工作流程：人工智能系统是高度动态的，模型经常被重新训练、更新和重新部署。这创造了一个不断变化的攻击面。
• 可审计性：人工智能的监管合规性涉及跟踪数据沿袭、模型决策和训练来源，为零信任增加了另一层安全性和透明度要求。
• 攻击向量：人工智引入了独特的攻击向量，例如在训练期间毒害数据集，操纵输入管道和窃取模型知识产权。

人工智能应用零信任的核心原则

人工智能应用程序的零信任建立在以下五个方面上：

1.在每个接入点验证身份

• 为访问人工智能资源的用户和机器实施多因素身份验证（MFA）。
• 使用基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）来限制对敏感数据集和模型的访问。

2.最低访问权限

• 确保用户、应用程序和设备具有执行其功能所需的最低访问权限。
• 根据时间、地点、异常行为等场景动态调整权限。

3.持续监控和验证

• 对数据流、API使用情况和模型交互进行实时监控。
• 使用行为分析来检测异常活动，例如模型泄漏尝试。

4.确保整个生命周期的安全

• 在人工智能管道中对静止、传输和处理过程中的数据进行加密。
• 在集成前验证和保护第三方数据集和预训练模型。

5.微分段

隔离人工智能系统的组件（例如训练环境、推理引擎），以在发生泄露时限制横向移动。

人工智能应用零信任的关键组件

1.身份访问管理（IAM）

• 角色：确保只有经过身份验证和授权的用户、设备和服务才能访问人工智能资源。
• 主要特性：

A.多因素身份验证（MFA）。

B.使用基于角色的访问控制（RBAC）或基于属性的访问控制来限制对敏感数据集和模型的访问。

C.针对特定人工智能任务（如训练、推理或监控）定制的细粒度权限。

2.数据安全和加密

• 角色：保护训练和推理中使用的敏感数据免受未经授权的访问和篡改。
• 主要特性：

A.对静态、传输和处理中的数据进行加密（例如，计算的同态加密）。

B.对敏感数据集进行安全数据屏蔽和匿名化处理。

C.用于数据沿袭跟踪和来源的安全存储解决方案。

3.模型保护

• 角色：保护人工智能模型免受盗窃、操纵和对抗性攻击。
• 主要特性：

A.模拟加密和数字签名以验证完整性。

B.对抗性训练，使模型能够抵御精心设计的输入。

C.对模型端点进行访问控制，以防止未经授权的使用。

4.端点和API安全性

•角色：确保人工智能系统与其消费者或依赖关系之间的安全通信。

•主要特性：

A.API认证（例如OAuth 2.0、JWT）和授权。

B.API速率限制和节流以防止滥用。

C.使用TLS加密API通信。

5.零信任网络架构（ZTNA）

• 角色：实现微分段和严格的网络访问控制，最大限度地减少攻击面。
• 主要特性：

A.隔离人工智能环境（例如训练、开发、推理）以防止横向移动。

B.持续监察网络通讯的异常情况。

C.用于混合云或多云设置的网络加密和安全隧道。

6.持续监测和分析

• 角色：实时检测和响应潜在威胁或异常行为。
• 主要特性：

A.人工智能驱动的威胁检测系统，用于分析行为模式。

B.记录和审计所有访问和活动，以供取证分析。

C.异常检测，以识别异常数据流或模型交互。

7.自动化和编排

• 角色：简化安全执行和事件响应。
• 主要特性：

A.针对检测到威胁的自动修复工作流程。

B.根据变化的场景（例如时间、地点或行为）动态调整政策。

C.与安全编排、自动化和响应（SOAR）平台集成。

8.治理和合规

• 角色：确保遵守法规要求和组织政策。
• 主要特性：

A.对数据使用、模型训练和推理过程进行详细的审计跟踪。

B.对GDPR、CCPA或人工智能道德准则等人工智能特定法规的合规性检查。

C.验证人工智能决策的透明度机制（例如，可解释性工具）。

9. DevSecOps集成

• 角色：将安全性嵌入人工智能开发和部署生命周期。
• 主要特性：

A.为人工智能工作流提供安全的持续集成（CI）/持续交付（CD）管道，确保及早发现漏洞。

B.对第三方数据集、预训练模型和人工智能库进行漏洞扫描。

C.在部署期间对人工智能模型及其API进行安全测试。

10.边缘和物联网安全（如果适用）

• 角色：保护部署在边缘设备或物联网系统上的人工智能模型。
• 主要特性：

A.设备身份验证和安全配置。

B.边缘设备与中央系统之间的端到端加密。

C.资源受限边缘环境的轻量级异常检测。

零信任人工智能的工具和框架

人工智能应用程序的动态性、分布式和敏感性带来了独特的安全挑战。专门为人工智能零信任设计的工具和框架至关重要的原因如下：

• 保护敏感数据：人工智能应用程序处理大量敏感数据，包括个人和专有信息。用于加密和访问控制的工具有助于保护数据免受破坏和滥用。
• 保护模型免受威胁：人工智能模型容易受到对抗性攻击、模型盗窃和数据中毒等威胁。专门的工具可以检测漏洞、强化模型，并在训练和推理期间确保它们的完整性。
• 管理复杂的生态系统：人工智能工作流跨越云计算、边缘计算和混合环境，涉及多个利益相关者和系统。用于身份和访问管理、网络分段和监控的框架确保了跨分布式生态系统的安全交互。
• 合规性和透明度：由于对人工智能有严格的监管要求（例如GDPR、CCPA），这些工具通过在人工智能系统中实施审计跟踪、加密和可解释性来帮助确保合规性。
• 增强弹性：通过自动化威胁检测、持续监控和事件响应，这些工具使人工智能系统对复杂的攻击更具弹性。

零信任人工智能的最佳实践

为人工智能应用程序实现零信任需要一种主动和全面的方法来保护人工智能生命周期的每个阶段。

以下是基于关键安全原则的最佳实践：

尽早整合安全

• 从开发阶段到部署和维护，嵌入安全措施。
• 使用威胁建模和安全优先的设计原则来识别人工智能工作流程中的潜在风险。

持续身份验证

对访问人工智能系统的用户和服务实施多因素身份验证（MFA）。

使用自适应身份验证方法，根据场景（例如设备、位置或行为）调整安全性。

采用最小特权原则

将访问限制在用户和服务执行其任务所需的最低级别。

定期检查和更新访问控制，以限制潜在的攻击面。

全面加密数据

• 确保在静止、传输和处理过程中对数据进行加密，以保护敏感的人工智能训练和推理数据。
• 使用同态加密和安全飞地等先进技术进行敏感计算。

监控和审计

• 部署高级监控工具来跟踪人工智能模型行为和数据访问模式中的异常情况。
• 维护对数据使用、模型交互和API活动的全面审计跟踪，以检测和响应可疑活动。

执行安全策略

• 使用开放策略代理（OPA）等策略引擎，跨微服务、数据管道和人工智能组件执行一致的安全策略。
• 定义和自动执行策略，以确保跨环境的合规性。

定期更新和打补丁

• 持续更新和修补所有软件组件，包括人工智能库、模型和依赖项，以减轻漏洞的影响。
• 在CI/CD管道中自动化补丁管理，以简化流程。

采用DevSecOps实践

• 将静态应用程序安全测试（SAST）和动态应用程序安全性测试（DAST）等安全测试集成到CI/CD管道中。
• 使用自动漏洞扫描工具在开发过程的早期识别和解决问题。

教育和培训团队

• 定期对开发人员、数据科学家和运营团队进行零信任原则和人工智能系统安全重要性的培训。
• 在整个组织中培养一种共同承担安全责任的文化。

通过遵循这些实践，组织可以建立一个强大的零信任框架，能够有效保障人工智能应用免受复杂多变的威胁侵扰，降低风险，并确保遵守监管标准。

结论

随着人工智能继续重塑世界，为关键应用程序提供动力并推动创新，它也带来了不容忽视的独特安全挑战。敏感数据、分布式工作流以及保护模型完整性的需求需要一种主动和全面的方法——这就是零信任发挥作用的地方。零信任通过专注于持续身份验证、最小权限访问和实时监控等原则，为保护人工智能系统提供了坚实的基础。当与加密管道和模型保护等工具、最佳实践和组件相结合时，它可以帮助组织更加有效防范威胁。

原文标题：Zero Trust for AI: Building Security from the Ground Up，作者：Josephine Eskaline Joyce，Deepika Kothamasu