AI安全时代,所有人都在摸着石头过河——谷歌也不例外
在洛杉矶一场活动的后台,我有幸与谷歌云COO Francis de Souza进行了简短交流。在周遭喧嚣中,de Souza以大学教授般沉稳的语调,为正在经历AI安全转型的企业提供了宝贵建议。他指出,当前正处于过渡期,但最终将抵达一个更好的状态。他并非在谈论谷歌自身,但显然,即使谷歌也仍在探索之中。
安全不可事后补救
de Souza的核心信息是安全专业人员多年来试图让高管们内化的理念,如今因AI而变得紧迫:安全不能成为事后考虑。他说:“当企业踏上AI之旅时,需要采取平台化方法。安全不是可以稍后附加的东西,也不能让员工自行处理。”他特别警告了“影子AI”现象——员工在组织监督之外使用消费级工具——并主张企业从一开始就要求平台具备安全、治理和可审计性。
他强调:“没有数据战略和安全战略,就不存在AI战略。它们必须齐头并进。”值得注意的是,他并非在单纯推销谷歌云。当我指出他的建议听起来像谷歌广告时,他予以反驳。他表示,谷歌致力于多云方法,并认为那些认为自己只运行在单一云上的公司几乎肯定不是如此。“即使他们选择单一云,他们也在依赖SaaS应用,业务伙伴可能使用不同的云。企业拥有跨云、跨模型的一致安全态势至关重要。”
威胁格局已根本改变
de Souza还指出,威胁格局已发生根本性变化,旧有的防御模式过于缓慢。他提到,从初始入侵到攻击下一阶段移交的平均时间已从8小时缩短至22秒,而攻击面已远远超出传统网络边界。“除了常规资产,你现在还有模型、用于训练模型的数据管道、智能体以及提示词。所有这些都需要保护。”
他特别提醒一个未受到足够重视的威胁:在内部系统中移动的智能体可能会发现早已被遗忘的数据仓库,从而引发新的安全风险。
结语
在AI安全这场实时博弈中,无论是初创公司还是科技巨头,都处于同一起跑线。正如de Souza所言,过渡期不可避免,但通过从一开始就将安全融入平台战略,企业可以更平稳地走向那个“更好的地方”。