一张图看清AI安全的位置
人工智能(AI)应用面临哪些安全方面的挑战?企业如何运用AI技术更好地消弭安全风险?进入AIGC时代,这两个问题对于企业而言将如影随行,同时也是企业实现业务转型升级必须捅破的那层窗户纸。
Gartner近日发布的“2024年中国安全技术成熟度曲线”显示,“AI网络安全助手”现处于“技术萌芽期”,到步入生产成熟期至少还需要5-10年。
在投资新技术与安全风险之间找到平衡
一方面,AI安全“路漫漫其修远兮”,而另一方面,当前企业AI应用又亟待保护。“AI在企业中的应用时间已经比较长,然而问题在于,很多企业之前忽视了AI安全,所以导致在当前这个阶段,企业在AI安全的投入方面捉襟见肘、进退维谷。”Gartner高级研究总监高峰分析说,“面对AI带来的新风险,我们必须投资去解决,然而尴尬的是预算又十分有限。因此,如何优化投资,在新技术的使用和风险之间找到平衡点,对于企业来说是一项严峻的挑战。”
Gartner的调查显示,2024年全球IT预算平均增长3.8%,中国IT预算增长2.8%。企业更加注重投入产出,在AI安全方面更是如此。Gartner中国安全技术成熟度曲线的意义就在于,可以帮助企业了解、梳理应该在哪些安全领域进行投资,又该如何实现投资的最优化。
AI安全还有很大上升空间
截至今年,Gartner已经连续三年发布中国安全技术成熟度曲线,这主要源于中国安全市场的特殊性。今年的曲线中新增了两项创新,即“AI网络安全助手”和“安全信息和事件管理(SIEM)”。相对于已经步入“稳步爬升复苏期”的SIEM,人们对于处在“技术萌芽期”的“AI网络安全助手”的关注度显然更高。
所谓AI网络安全助手,是指利用大语言模型发掘网络安全工具提供的现有知识,并生产与安全团队中的目标角色相关的内容。AI网络安全助手大多是作为现有产品的辅助功能,同时也可以作为专用前端,或者通过集成软件智能体采取行动。AI网络安全助手可以发现知识和创建内容。这种提高生产力的潜力吸引了企业中负责网络安全的高管们的注意。Gartner认为,AI网络安全助手可能会演进成为更自主的代理,在没有频繁提示的情况下根据概括性指示工作。
“AI安全分为两方面。在Gartner中国安全技术成熟度曲线中,更偏向于AI在安全领域中的应用技术。”高峰解释说,“AI网络安全助手可以帮助企业的安全团队提高效率,同时还能有效地保护业务安全。”
在AI保护方面,国内外具有明显的差距。Gartner的《AI TRiSM》报告显示,国外有大量厂商在研发保护AI的工具,涉及内容过滤、数据保护、应用安全、AI透明性和可解释性、AI模型运维、提示工程(Prompt Engineering)对抗等。虽然越来越多的中国企业在业务端使用了AI,但是整体上缺少对AI的保护。国内的一些互联网大模型提供商只是最近才具有了相关的保护能力,而安全初创厂商几乎没有在这方面进行投入创新的。
在AI网络安全助手方面,国内外的成熟度差别并不是很大。国内的各安全厂商都在争相发布AI安全大模型。而安全大模型正是AI网络安全助手其中的一部分。
“无论是AI还是生成式AI,在安全领域,其应用都偏向于辅助的功能,或者说是助手的能力。因为到目前为止,AI还无法做到自动化、闭环地做决定,更多的是作为一种辅助能力。”高峰表示,“AI网络安全助手是由供需双方共同推动的。一方面,企业安全的管理者们希望能通过AI的方式提高效率,弥补有限的预算、人员的缺失等。另一方面,安全厂商也在大力推动安全大模型的开发和应用,旨在寻找新的业务增长点。”
客观上,生成式AI已经发展到了“顶部”,而AI在安全方面的应用还有很大的施展空间,并且承载着供需双方极大的期待。AI网络安全助手或许就是那个有力的“抓手”。
现阶段AI网络安全还只能是个“助手”
众所周知,在to C领域,特别是一些简单、通用的场景中,AI作为一种提升效率、实现自动化的工具已经得到认可。比如,利用AI生成图片、制作PPT等。但是在to B领域,情况则复杂得多。尤其是像安全这样“差之毫厘、谬之千里”的行业,任何微小的失误或错误,都可能导致整个业务受到影响。这也是为什么现阶段AI网络安全还只能是一个“助手”。它可以锦上添花,但在一些关键环节或场景中,还是离不开人的判断、确认和调整。
目前,AI在安全领域应用最广泛的就是代码生成。Github(软件项目托管平台)的一项调研显示,初级工程师的代码接受率已经达到40%,但是在高级工程师中的接受率只有20%多。这表明,AI作为辅助工具,可以有效减轻初级工程师的压力,让他们快速上手。但是在涉及代码质量等深层次问题时,AI可能还存在一些不足甚至是隐患。“AI并不是放之四海皆准,能够应用于任何领域的。在安全领域,AI更多是基于用例的。”高峰如是说。
环顾国内市场,绝大多数国内一线安全厂商都已经发布了安全大模型。安全大模型目前最大的问题就在于其精确性和有效性。高峰认为,企业最关注的还是AI究竟能够给他们带来多少效益?ISG发布的《生成式AI市场状况》报告显示,尽管到2025年,企业在生成式AI上的支出将增加50%,但实际的ROI并不高。
“很多安全大模型的用户会发现,现在的安全大模型所提供的能力好像与以前的安全产品并没有太大区别。这是因为AI很早便已经应用于安全领域,比如像零日漏洞这种攻击,一定要通过机器学习、AI技术才能进行预测预防。”高峰解释说,“实际上,安全公司一直拥有AI能力,这也是为什么他们能够在如此短的时间内发布如此众多的安全大模型的原因。不过也正是因为安全厂商在AI方面拥有一定的积累,才让用户在使用安全大模型时感觉安全能力的提升并不如想象得那样明显,似乎最大的差别就是安全大模型‘可以聊天’,能够让人与机器之间以更加人性化的自然语言方式进行交流,回答一些标准化的问题,比如‘这个漏洞代表什么?’等。”
但是,“会聊天”的安全大模型对于企业整体安全能力的提升,能否带来质的改变呢?这是供需双方都需要认真思考和解决的问题。对于务实的企业用户来说,AI安全厂商要证明,企业的投资是物有所值,甚至是特超所值的。实际上,部署AI安全解决方案涉及到成本的增加,特别是算力的增加需要大量高性能的硬件设备作为支撑。中国企业还有一个特殊性,就是偏爱本地部署。相对于云服务模式而言,本地部署和运维在复杂度、成本等方面将面临更高的门槛。因此,投资回报率就显得更加敏感。
找到最适合的场景
AI网络安全助手何时才能步入生产成熟期?现在回答这个问题显然为时尚早。技术的演进、用户的接受程度、市场的变化等因素都是不可预估的变量。
高峰认为,AI网络安全助手的落地一定是基于具体场景的。企业应该选择一些非常适合生成式AI,又匹配自身业务的场景,并且率先从一些辅助的领域开始尝试,以提升效率、获得一定收益,这样才会坚定持续投入的信心。
从趋势来看,越来越多企业正投资于生成式AI等数字创新。这些投资也带来了新的攻击面,迫切需要新的安全防护机制。从这个角度说,企业需要不断优化自身的安全策略和措施,以平衡新技术的采用和预算限制,更好地为业务发展保驾护航。
