生成式人工智能安全范围矩阵
概览
随着组织越来越多地采用生成式人工智能技术,了解其安全含义变得至关重要。身份和访问管理、数据保护、隐私与合规性、应用程序安全和威胁建模等核心安全专业对于生成式人工智能工作负载仍然至关重要,就像对任何其他工作负载一样。但是,除了强调长期存在的安全实践外,了解生成式人工智能工作负载带来的独特风险和其他安全考虑因素也至关重要。
生成式人工智能安全范围矩阵是一个综合框架,旨在帮助组织在整个人工智能生命周期中评测并实施安全控制措施。该框架将安全考虑因素分解为特定类别,从而为保护人工智能应用程序提供了有针对性的方法。
生成式人工智能安全范围矩阵
用于对使用案例进行分类的思维模式
范围 1
客户应用程序
使用”公共”生成式人工智能服务
示例:PartyRock(一个 Amazon Bedrock 平台)、ChatGPT、Midjourney
范围 2
企业应用程序
使用具有生成式人工智能功能的应用程序或 SaaS
示例:Amazon Q
范围 3
预训练的模型
在版本控制的模型上构建应用程序
示例:Amazon Bedrock 基础模型
范围 4
微调的模型
根据您的数据对模型进行微调
示例:Amazon Bedrock 自定义模型、Amazon SageMaker Jumpstart
范围 5
自训练的模型
从头开始使用您的数据对模型进行训练
示例:Amazon SageMaker
保护生成式人工智能
监管与合规性
法律和隐私
风险管理
控制
弹性
购买
构建
生成式人工智能安全范围矩阵
用于对使用案例进行分类的思维模式
购买
范围 1
客户应用程序
使用”公共”生成式人工智能服务
示例:PartyRock(一个 Amazon Bedrock 平台)、ChatGPT、Midjourney
购买
范围 2
企业应用程序
使用具有生成式人工智能功能的应用程序或 SaaS
示例:Amazon Q
构建
范围 3
预训练的模型
在版本控制的模型上构建应用程序
示例:Amazon Bedrock 基础模型
构建
范围 4
微调的模型
根据您的数据对模型进行微调
示例:Amazon Bedrock 自定义模型、Amazon SageMaker Jumpstart
构建
范围 5
自训练的模型
从头开始使用您的数据对模型进行训练
示例:Amazon SageMaker
保护生成式人工智能
监管与合规性
法律和隐私
风险管理
控制
弹性
确定范围
第一步是确定您的应用场景适合哪个范围。范围编号为 1-5,表示您的组织对人工智能模型及其关联数据拥有的最小所有权到最大所有权。
优先考虑因素
您的工作负载是有限的,现在您需要确保业务能够快速且安全地向前发展。在生成式人工智能安全范围矩阵中,我们确定了涵盖不同类型的生成式人工智能解决方案的五个安全专业。
- 治理与合规 – 在增强业务能力的同时最大限度降低风险所需的策略、程序和报告。
- 法律和隐私 – 使用或创建生成式人工智能解决方案的具体监管、法律和隐私要求。
- 风险管理 – 识别生成式人工智能解决方案的潜在威胁和建议的缓解措施。
- 控制 – 实施用于减轻风险的安全控制措施。
- 韧性 – 如何架构生成式人工智能解决方案以保持可用性并满足业务 SLA。
我们探讨一些您应该优先考虑的机会示例。
-
监管与合规性
-
法律和隐私
-
风险管理
-
控制措施
-
弹性
-
监管与合规性
-
监管与合规性
当管理范围 1 和 2 时,遵守服务条款、许可协议和数据主权要求至关重要。对于范围 1 应用程序,优先使用公用的非专有数据,因为服务提供商可能利用提交的数据增强他们的模型或服务。应当使用强大的控制措施、合同保护措施和选择退出选项开发范围 2 应用程序,以保护贵组织的专有数据和敏感数据,从而确保这些数据不会用于模型训练或改进。这些应用程序通常是为企业使用案例量身定制的。
对于可能特定于您的组织或客户需求的任务,例如汇总专有或敏感的业务数据、生成独特的洞察或者自动化内部流程,您可能需要从范围 3 到 5 构建自己的应用程序。这些范围允许使用您的数据进行训练、微调或者用作模型输出。例如,即使您没有将数据微调或训练到范围 3 LLM 中,您仍然可以使用检索增强生成(RAG)、知识库和代理来增强模型响应和上下文操作,而无需微调模型。
在范围 4 和 5 中,根据特定领域的数据训练模型,并避免使用 PII 等敏感数据。确保按照训练期间使用的最高数据敏感度,对生成的模型进行分类。应当规定,只有获得此分类级别授权的用户有权对模型进行推理。对于 PII 等数据或者频繁变化的交易数据,请考虑在推理期间使用检索增强生成(RAG)功能或基于代理的工作流重新添加这些数据,而不是将它们合并到模型本身中。
-
法律和隐私
-
法律和隐私
从法律角度来看,了解服务提供商的最终用户许可协议(EULA)、服务条款(TOS)以及在范围 1 到 4 内使用他们的服务时必须遵守的任何其他合同协议非常重要。对于范围 5,您的法律团队应当为模型的任何外部使用行为提供他们自己的服务合同条款。此外,对于范围 3 和范围 4,请务必验证服务提供商为他们的服务设定的法律使用条款,以及模型提供商为他们在此服务内提供的模型设定的法律使用条款。
此外,如果欧盟的《通用数据保护条例》(GDPR)的“删除权”或“被遗忘权”要求适用于您的企业,请考虑隐私问题。仔细考虑利用可能需要应要求删除的数据对模型进行训练或微调时产生的影响。从模型中移除数据的唯一一种完全有效的方法是从训练集内删除数据并训练新版本的模型。当要删除的数据量只占全部训练数据的一小部分时,这种做法不切实际,而且根据模型的大小,代价可能非常高昂。
-
风险管理
-
风险管理
虽然由人工智能提供支持的应用程序与传统的应用程序相似,但它们会与大型语言模型(LLM)进行交互,因此应当对它们格外警惕并设置特定的护栏。识别与生成式人工智能工作负载相关的风险并开始缓解这些风险至关重要。
通常可以利用风险评估和威胁建模来完成风险识别。对于范围 1 和 2,评估来自第三方提供商的风险,并了解他们的风险缓解策略。作为服务使用者,您还必须认识到自己的风险管理责任。
对于范围 3、4 和 5,实施威胁建模,以解决人工智能安全风险和数据安全风险,并重点关注即时注入等独特的 LLM 威胁。这包括生成可以操纵 LLM 响应的输入,这样可能导致数据泄露或未经授权的访问。NIST、MITRE 和 OWASP 提供的最新指导将即时注入确定为一种主要威胁,与 SQL 等传统注入攻击不相上下。通过在风险到达 LLM 之前应用精细授权和数据筛选来缓解这种风险,并使用 Bedrock Guardrails 提供额外的保护。
生成式人工智能中的新兴威胁要求调整传统的网络安全措施,并与开发团队密切合作,以便有效地对威胁进行建模并确立量身定制的最佳实践。
-
控制措施
-
控制措施
实施强有力的控制措施对于执行合规性、政策和安全要求至关重要,因此能够降低与生成式人工智能工作负载相关的风险。关键考虑因素之一是管理对模型的身份和访问权限。 与提供精细安全控制的传统数据库不同,基础模型没有对存储在模型内的数据或推理时提供的数据实施访问控制这一概念。因此,在将数据作为上下文添加到推理请求之前,必须对数据实施最低权限访问控制。
为了实现这一目标,您可以利用通过 Amazon Bedrock 等端点与模型进行交互的应用程序层。这些层应当整合 Amazon Cognito 或 AWS IAM Identity Center 等身份解决方案,以便对用户进行身份验证和授权。通过根据角色、属性和用户社区定制访问权限,您可以限制特定的操作并帮助确保敏感数据受到保护。
此外,随着人工智能工作负载的演变,必须不断评估并更新控制措施,以适应新的威胁和数据敏感度的变化。采用检索增强生成(RAG)等高级技术,可以在不影响模型完整性的情况下提供实时数据。这些策略与持续的威胁建模相结合,可以帮助为您的生成式人工智能应用程序维持安全、合规的环境。
-
弹性
-
弹性
正如 C.I.A. triad 中指出的那样,可用性是安全性的一个关键组成部分。构建弹性应用程序对于满足贵组织的可用性和业务连续性要求至关重要。对于范围 1 和 2,您应了解提供商的可用性如何与贵组织的需求和期望保持一致。仔细考虑当由于底层模型、API 或表示层不可用而导致中断时,会对您的企业产生哪些影响。此外,还要考虑复杂的提示和补全操作可能如何影响使用配额,或者应用程序可能对账单产生哪些影响。
对于范围 3、4 和 5,请确保设置适当的超时时间,以应对复杂的提示和补全。您还可能希望查看模型定义的分配字符限制的提示输入大小。还要考虑弹性设计的现有最佳实践,例如回退和重试以及断路器模式,以实现所需的用户体验。使用向量数据库时,建议使用高可用性配置和灾难恢复计划,以便能够弹性应对不同的故障模式。
除了可能为极其关键的工作负载预留或预置计算以外,推理和训练模型管道的实例灵活性也是重要的架构考虑因素。如果使用 Amazon Bedrock 或 SageMaker 等托管式服务,当实施多区域部署策略时,必须验证 AWS 区域的可用性和功能一致性。同样,为了获得对范围 4 和 5 工作负载的多区域支持,您必须考虑跨区域微调或训练数据的可用性。如果您使用 SageMaker 在范围 5 中训练模型,请在训练模型时使用检查点来保存进度。必要时,这样可以从上次保存的检查点恢复训练。
请务必审查并实施在 AWS 韧性监测中心中以及架构完善的框架的可靠性支柱和卓越运营支柱内确立的现有应用程序弹性最佳实践。