AI安全必备框架：AWS生成式AI安全范围矩阵

生成式人工智能（以下简称GenAI）已正式告别炒作阶段，进入“如何落地实践”的关键时期，并正以摧枯拉朽的速度重塑各行各业，企业信息架构和网络安全体系也正随之发生剧变。

据Gartner预测，到2026年，超过80%的企业将部署启用GenAI的应用，这一比例在2023年尚不足5%。然而，伴随颠覆性创新而来的，是同样“颠覆性”巨大安全风险。GenAI引入了全新的攻击面，传统网络安全措施已不足以应对，GenAI工作负载作为新兴威胁载体对企业的威胁建模和整体风险管理提出了全新的挑战。

毫无疑问，AI安全是2025年CISO必须直面的头号难题。

• 模型在哪里托管？是通过第三方API（如DeepSeek、OpenAI、Anthropic）还是自建服务器？
• 使用的是哪类模型？预训练模型、微调模型还是完全定制模型？
• 输入数据是什么？是否包含个人身份信息（PII）、财务记录或企业知识产权？
• 模型的抗攻击能力如何？是否针对提示注入或对抗性操作进行过测试？

每个问题都代表一个传统安全工具无法覆盖的新攻击向量。

在充分认识GenAI安全风险之前，CISO在保护GenAI时常犯两大错误如下：

• 过度依赖安全工具。许多CISO过于信赖监控和入侵检测等工具，认为它们足以保护GenAI系统。然而，工具本身若缺乏全面的治理策略、数据保护措施和持续风险评估，远远不够。过分强调工具可能导致忽视用户教育、治理框架和主动威胁建模等关键领域。
• 安全策略失衡。当前的GenAI安全策略往往要么过于宏观（仅关注AI伦理等宽泛政策），要么过于微观（仅聚焦模型加密等技术细节）。一个平衡的策略需要在治理（如第三方API管理、AI决策问责制）和技术控制之间找到结合点，以避免安全漏洞。

• 特点：使用第三方GenAI工具（如ChatGPT），控制权最少，数据泄露风险最高。
• 安全责任：需部署数据丢失防护（DLP）策略，防止员工将敏感数据输入公共AI工具。

• 特点：GenAI嵌入SaaS应用（如Microsoft CoPilot）。
• 安全责任：关注SaaS提供商的安全合规性，确保数据在传输和处理中受保护。

• 特点：通过API使用外部模型构建应用。
• 安全责任：需保护API密钥，确保数据加密，并监控第三方模型的输出安全性。

• 特点：基于预训练模型，用企业特定数据进行定制。
• 安全责任：需保护训练数据，防范数据投毒（data poisoning），并测试模型鲁棒性。

• 特点：完全自主开发的AI模型，控制权最大，责任最重。
• 安全责任：需实施全面的模型治理、对抗性测试和访问控制，保护模型及其输出。

• 治理与合规性。确保AI决策的责任可追溯，符合企业政策。
• 法律与隐私。应对GDPR、CCPA等法规，以及AI特有的法律风险。
• 风险管理。识别提示注入、对抗性攻击等新威胁。
• 安全控制。应用身份管理（IAM）、加密和威胁监控保护模型。
• 韧性。确保AI系统在攻击下的可用性和稳定性。

• 弥合创新与安全鸿沟。AI开发团队追求速度，而安全团队需要结构化框架以跟上步伐。矩阵为两者提供了沟通桥梁。
• 提供清晰安全策略。CISO可根据AI部署的实际风险，精准调整安全政策，而非泛泛而谈。
• 映射实用安全控制。从数据加密到威胁检测，矩阵帮助CISO将最佳实践落实到具体措施。
• 通用性强。虽然是为AWS环境设计，但其框架足够开放，适用于任何组织。

• 评估GenAI用例。确定企业当前或计划中的GenAI应用属于哪个范围。例如，使用ChatGPT属于范围1，自建模型属于范围5。
• 匹配安全措施。根据矩阵建议，制定针对性策略。例如，范围1需加强DLP，范围5需全面治理。
• 持续迭代。GenAI技术快速演进，定期复盘用例和安全措施，确保与时俱进。

参考链接：

https://aws.amazon.com/blogs/security/securing-generative-ai-an-introduction-to-the-generative-ai-security-scoping-matrix/