如何找出您的人工智能供应商是否存在安全风险

采用人工智能最紧迫的问题之一是数据泄露。考虑一下：员工登录他们最喜欢的人工智能聊天机器人，粘贴敏感的公司数据，并要求提供摘要。就像这样，机密信息被摄取到您无法控制的第三方模型中。

即使有数据丢失预防（DLP）政策，人工智能数据泄露也很难预防。如果人工智能系统是基于云的，并且员工可以从外部访问它，公司可能永远不会知道他们的数据何时被泄露。

此外，大多数人工智能供应商提供的不仅仅是Web界面——他们还通过API提供编程访问。然而，API也引入了一个重大的安全盲点。如果人工智能供应商允许远程API访问，您如何验证谁在使用它？如果攻击者访问了API令牌，他们可以在不被检测的情况下提取或操作数据。

人工智能安全清单：在供应商中寻找什么

如果您正在评估人工智能提供商，安全性必须是重中之重，特别是在处理敏感业务数据时。以下是选择人工智能供应商时必备的安全功能：

认证和授权标准

绝不应该通过用户名和密码授予API访问权限。相反，寻找基于令牌的身份验证：

• 供应商必须支持OAuth 2.0来生成安全令牌
• 令牌应继承或具有可分配的权限，以确保最小权限访问
• 禁止代币共享。每个系统或用户都应该有独特的凭据

代币监控和生命周期管理

供应商应提供一个集中的活跃身份验证令牌列表，令牌应包括元数据，例如：

• 谁创造了它
• 创建时间、最后修改和最后使用时间
• 分配的权限
• 它是否仍然有效或过期

全面的API日志记录和审计跟踪

人工智能供应商必须为API访问提供审计日志，这些日志应该可以通过API访问，以便进行实时监控。每个日志条目至少应包括：

• 访问日期和时间
• 源IP地址
• 用于访问的令牌
• 执行的操作（例如，“创建新令牌”、“检索数据”）
• 成功或失败状态

高级日志记录应包括完整的API端点、HTTP方法和HTTP响应代码，以获得精细的见解。

透明文档

人工智能供应商应以开放格式（例如，OpenAPI或Swagger）提供完整的API文档。在没有适当文档的情况下，组织对如何记录和保护其人工智能交互一无所知。

隐藏的API安全危机

在研究了两年多的API安全性后，我仍然对人工智能供应商缺乏日志记录、监控和安全功能感到震惊。没有足够日志记录的API会创建一个无形的攻击表面，在没有检测的情况下，可能会发生未经授权的访问。

我们已经看到了API令牌在GitHub存储库中泄露或在暗网论坛上出售的恐怖故事。一旦攻击者拥有有效的API令牌，他们就可以无限期地利用它——直到有人注意到。

人工智能将在这里停留，但安全不再是事后的想法。在信任任何具有敏感数据的人工智能供应商之前，组织必须要求透明的API安全、严格的监控和强大的身份验证控制。

如果人工智能提供商缺乏基本的安全控制，他们就会带来风险。人工智能供应商应该对安全负责。如果人工智能提供商无法回答谁在使用他们的API，上次访问它们的时机以及它们是如何被使用的，那么他们不值得你的业务。

消息来源：helpnetsecurity, 编译：安全114； 

本文由 anquan114.com 翻译整理，封面来源于网络；  

转载请注明“转自 anquan114.com”并附上原文