全球首份《AI系統安全開發準則》發布，提出4方面安全監理要求

2023年11月26日，美國、英國、澳洲等18個國家的網路安全監管部門聯合發布了全球首份《AI系統安全開發準則》，旨在實現保護人工智慧模型不被惡意篡改，並敦促人工智慧公司在開發或使用人工智慧模型時更加關注「設計安全」。

美國網路安全與基礎設施安全局（CISA）作為主要參與者之一，表示世界正在經歷AI技術快速發展的拐點，而AI技術很可能是當今最具影響力的技術。然而，確保網路安全是建立安全、可靠且值得信賴AI系統的關鍵。為此，我們聯合了多個國家的網路安全監管部門，並與Google、亞馬遜、OpenAI和微軟等公司的技術專家合作，共同編寫並發布了這份準則，旨在提高AI技術應用的安全性

據了解，這份準則是全球第一份由官方機構發布的針對AI系統開發安全的指導文件。準則明確要求AI企業必須優先考慮為客戶確保安全結果，積極倡導AI應用的透明度和問責機制，並以保障安全設計為首要任務來建構組織的管理結構。準則旨在提高AI的網路安全性，有助於確保安全地設計、開發和部署AI技術。

除此之外，根據美國政府一直以來在網路安全風險管理方面的經驗，準則要求所有AI研發公司在公開發布新的AI工具之前必須進行充分的測試，確保已經採取了安全措施以盡量減少社會危害（如偏見和歧視）和隱私問題。準則也要求AI研發公司承諾，透過漏​​洞懸賞系統，方便第三方發現並報告其AI系統中的漏洞，以便快速發現和修復漏洞

具體而言，此次發布的準則為AI系統安全開發提出了4大方面的監管要求：

1、要優先考慮「設計安全」和「預設安全」

AI開發公司在準則中多次強調了「設計安全”和“預設安全”原則。這意味著他們應該積極採取措施，保​​護AI產品不受攻擊。為了遵守準則，AI開發人員應該在決策過程中優先考慮安全性，而不僅僅是專注於產品功能和效能。準則還建議產品提供最安全的預設應用選項，並向使用者清楚傳達替代該預設配置的風險。此外，根據準則要求，AI系統的開發人員應該為下游的應用結果負責，而不是依賴客戶來控制安全

要求摘錄：“用戶（無論是'最終用戶'還是整合外部AI組件的提供者）通常缺乏足夠的可見性及專業知識來充分了解、評估或解決與他們正在使用的AI系統相關的風險。因此，根據'設計安全'原則，AI組件的提供者應該對供應鏈下游用戶的安全後果負責。」

2、密切注意複雜的供應鏈安全

AI工具開發人員在設計自己的產品時常依賴第三方元件，例如基礎模型、訓練資料集和API。龐大的供應商網路會為AI系統帶來更大的攻擊面，其中任何一個薄弱環節都可能會對產品的安全性產生負面影響。因此，準則要求開發人員在決定引用第三方組件時，需要充分評估其中的安全風險。在與第三方合作時，開發人員應該審查和監控供應商的安全狀況，要求供應商遵守與自己組織相同的安全標準，並對導入的第三方程式碼實施掃描和隔離。

要求摘錄：「如果第三方元件未達到安全標準，開發者要為關鍵任務系統準備好切換到替代解決方案。企業可以使用NCSC的《供應鏈指南》等資源，以及軟體工件供應鏈層級（SLSA）等資源，用於追蹤供應鏈和軟體開發生命週期的認證。」

3、考慮AI應用中面臨的獨特風險

################################################################ #AI系統在應用時會產生一些特有的威脅（如提示注入攻擊和資料中毒），因此開發者需要充分考慮AI系統獨特的安全因素。 AI系統「設計安全」方法的一個重要組成部分是為AI模型輸出設定安全護欄，以防止敏感資料洩露，並限制用於文件編輯等任務的AI組件的操作。開發人員應該將AI特有的威脅場景納入發布前的測試中，並監控使用者輸入以判斷是否存在惡意利用系統的企圖。 ###

要求摘錄：「『對抗性機器學習』（AML）一詞用於描述利用機器學習元件（包括硬體、軟體、工作流程和供應鏈）中的安全漏洞。AML使攻擊者能夠在機器學習系統中引發意想不到的行為，包括：影響模型的分類或回歸性能、允許用戶執行未經授權的操作以及提取敏感的模型資訊。」

##4、AI系統安全開發應該具有持續性和協作性

準則概述了AI系統設計、開發、部署、操作及維護等全生命週期階段的最佳安全實踐，並強調了持續監控已部署AI系統的重要性，以便發現模型行為變化和可疑用戶輸入。 "設計安全"原則是任何軟體更新的關鍵組成部分，準則建議開發者預設自動更新。最後，建議開發人員利用龐大的AI社群回饋和資訊分享，不斷改進系統的安全性

要求摘錄：「需要時，AI系統開發者可以將遇到的安全問題上報到更龐大的社區，例如發布響應漏洞披露的公告，包括詳細而完整的常見漏洞枚舉。當發現安全問題時，開發者要採取行動，迅速而適當地緩解和修復問題。」

參考連結：

需要重新寫作的內容如下：2023年11月，美國、英國及全球合作夥伴發布了一份聲明

全球人工智慧安全指南的4個關鍵要點

以上是全球首份《AI系統安全開發準則》發布，提出4方面安全監理要求的詳細內容。更多資訊請關注PHP中文網其他相關文章！