考虑到人工智能环境安全防御的复杂性,AI Exchange的导航器可帮助用户快速查询包括各种威胁、漏洞和控制的有用资源。
AI Exchange导航器界面
OWASP AI Exchange还率先提出了一些通用AI安全建议,包括实施人工智能治理、将安全和开发实践扩展到数据科学以及根据人工智能的具体用例。
覆盖AI威胁、攻击面、生命周期和资产的AI安全矩阵 来源:OWASP
黑客攻击人工智能的方式有很多,并且涌现了很多新威胁,例如数据泄露、数据中毒,甚至对人工智能供应链的攻击。以下是AI Exchange给出的AI安全威胁与控制措施的威胁模型图:
AI威胁与控制模型图来源:OWASP
总之,AI Exchange为企业提供了一种全面的方法来识别AI相关威胁和对应的控制措施。首先通过威胁建模等方法识别威胁,确定企业内部应对威胁的责任,以及评估服务提供商、软件和供应商等外部因素。
然后,AIExchange框架会引导企业选择合适的威胁缓解措施,并将这些控制措施与现有和新兴标准交叉引用。遵循这些步骤,企业将能对AI风险的持续监控和维护做出明智决策。
与其他软件系统非常相似,人工智能系统开发也遵循生命周期,因此AIExchange建议企业遵循NIST的安全软件开发框架(SSDF),在人工智能软件开发生命周期(SDLC)的各个阶段进行安全防护,包括安全设计、开发、部署以及操作和维护。
参考链接:
https://github.com/OWASP/www-project-ai-security-and-privacy-guide/blob/main/owaspaiexchange.md
https://owasp.org/www-project-top-10-for-large-language-model-applications/
https://csrc.nist.gov/pubs/sp/800/218/final
原文始发于微信公众号(安全内参):OWASP发布开源AI网络安全知识库框架AI Exchange
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论