人工智能在商业中的风潮

关键要点

• 商业界对人工智能（AI）的热情高涨，许多公司正在探索如何利用AI工具提升效率。
• 尽管AI有潜力带来巨大价值，但组织在快速采用AI技术的同时，必须注意潜在的安全隐患。
• 使用开源架构的AI工具增加了安全风险，企业需要建立稳健的审核流程确保安全。
• 供应商评估是识别潜在威胁的关键步骤，企业应关注供应商的开发方法和安全协议。

人工智能的广泛应用

商业世界正在经历一场人工智能的热潮。本周在RSAC展会上，企业如何利用这些新的讨论几乎遍及美国各大公司的会议室。几乎每家公司都在下载AI应用程序，尝试利用这一技术来帮助处理日常琐事，而内部开发者则在网上寻找最佳数据库以进行构建。

各大公司正在应对市场的疯狂。从大型企业到小型生存者，商业软件制造商竞相推出基于AI的新工具和功能。企业在AI上的支出将于今年增长27%，达到1540亿美元。

组织在这一过程中应谨慎行事。随着公司争先恐后地采用各种形式的AI技术，他们可能会绕过关键的安全步骤，这在某种程度上可能使企业面临无法承担的黑客攻击风险。这是因为许多新AI工具基于开源基础设施或数据仓库，这可能需要一种与过去几十年使用的专有工具截然不同的防御策略。

因此，CIO、CISO和其他内部技术领导者必须制定流程，以便安全专业人员能够验证许多这些AI程序所依赖的库或平台。

开源并不总是有利

通过简单的谷歌搜索，可以找到几乎所有常见业务任务所需的AI产品。有些工具可免费试用，员工们只需刷卡即可快速使用全功能软件。

这并不是一个新问题。所谓的——指的是员工在没有雇主知情的情况下使用的软件和设备，一直是CISO和CIO的心头之痛。然而，AI技术可能会使这个问题变得更加复杂。与如今大多数企业使用的大型软件不同，现代AI工具越来越多地建立在开源架构上。

随着这股开源浪潮，已经有大量的数据库在线可供使用。随着OpenAI等公司发布自己的数据集供开发者创建，这个数量只会持续增加。

开源是一个强大的工具，但也存在风险。据我们所见，一些不法分子正针对开源平台进行攻击。同时，几年前的SolarWinds黑客事件造成成千上万的数据网络受到损害，显示了IT供应链漏洞可能造成的破坏。这就是为什么从安全角度来看，我们对AI热潮表达如此关切的原因：越多开源AI平台被采纳，企业就越容易遭遇潜在灾难性的IT供应链攻击。

幸运的是，安全领导者可以采取一些步骤，帮助持续审核开源工具的潜在漏洞。

照亮阴影中的问题

如今，企业进行充分的研究，彻底调查任何可能提供IT服务的供应商比以往任何时候都更为重要。同时，CISO及其团队也必须随时了解员工希望使用的工具。

从现在开始，安全团队应与开发同事紧密合作，确保评估所考虑的供应商，并了解保护开源库所采用的安全协议。

一旦内部IT团队确认了库的安全性，他们便可以制定访问指南，允许员工下载自己选择的应用或开始使用某些库来帮助提供机器学习算法所需的支持。

供应商评估

然而，这并不意味着员工就能急于尝试所有可用的工具。员工和安全专业人员都需要权衡软件可能带来的价值与可能带来的威胁。

供应商评估表在评估潜在威胁方面可以发挥重要作用。花时间将IT供应商进行基准比较，可以为企业提供必要的信息，帮助他们决定雇用哪家供应商。