AI安全挑战：谷歌与行业领袖的共同课题

近期在一场于洛杉矶举行的活动中，我有幸在Google Cloud首席运营官弗朗西斯·德苏萨（Francis de Souza）的采访中，他以大学教授般沉稳的语调，为应对当前AI安全挑战提供了宝贵的见解。他指出：“我们正处在一个过渡期，但最终会进入一个更安全的阶段。”

尽管他当时并未特指谷歌，但显然，即便是谷歌也在努力应对AI安全问题。

德苏萨的核心观点与多年来安全专家对管理层的劝告一致，即安全必须是优先考虑的，而非事后补救。他强调：“企业在进行人工智能转型时，必须采取平台化策略，安全不能作为后续才考虑的问题，也不能完全依赖员工自行处理。”他特别警告了“影子AI”现象——员工在没有公司监管的情况下使用消费者工具——并强调企业需要从一开始就将平台的安全性、治理和可操作性纳入考量。“没有数据策略和安全策略，就无法形成有效的人工智能战略，这些策略必须协同推进。”

值得注意的是，他并非在单独推广Google Cloud。当他发现这些建议听起来像谷歌广告时，他提出了反对意见。他表示，谷歌致力于采用多云策略，并指出，那些认为自己在单一云上运行的公司几乎肯定不是。“即使他们选择单一云，他们也依赖于SaaS应用，但也有业务合作伙伴可能使用不同的云，”他说。“对于公司来说，拥有跨云、跨模型一致的安全姿态非常重要。”

他还指出，威胁形势已发生根本性变化，旧的防御模式太慢。他提到，从初始入侵到攻击阶段转换的平均时间已从8小时缩短至22秒，攻击面已经远远超出了传统网络边界。“除了常规的网络边界，你现在还有模型、训练数据管道、代理和提示等需要保护。”

德苏萨指出，一个被忽视的威胁是：在公司内部系统中移动的代理可能会暴露多年来被遗忘的数据存储库。“许多组织有旧的SharePoint服务器和访问控制，他们可能没有更新，但这些数据资产可能被代理找到并暴露。”

他提出，答案是用机器速度应对机器速度。他说：“我们现在看到一种原生的、完全代理的防御系统，企业可以运行代理来推动他们的防御。”他还补充说，这已成为一个领导力问题，而不仅仅是一个技术问题。“这不仅是安全团队的问题，更是董事会和高管团队需要关注的问题。”

尽管如此，有资格监督AI安全的人员仍然短缺，而AI本身引入的漏洞修复速度远超安全团队解决的速度。LinkedIn的首席信息安全官Lea Kissner告诉《纽约时报》：“我们需要人们来应对漏洞问题。”

本周，她补充说，她预计该行业至少在几年内不会以任何可持续的方式了解AI安全性。

这让我们回到平台提供商本身。《纪事报》在过去几周发布了一系列报告，记录了一波Google Cloud开发人员因未经授权的API调用Gemini模型而受到五位数账单的打击——其中许多人从未使用过或故意启用过这些服务。这些案例遵循了一个熟悉的模式：最初为Google地图部署的API密钥，在未经明确同意的情况下，已经悄悄地能够访问Gemini。

面试准备平台Prentus的首席执行官罗德·达南（Rod Danan）表示，他的账单在大约30分钟内达到了10,138美元。悉尼开发人员Isuru Fonseka的账户也遭到了类似的攻击，尽管他相信自己的支出上限为250美元，但他醒来后却被收取了大约17,000澳元的费用。两人都不知道的是，谷歌的自动化系统根据帐户历史记录升级了计费级别，在未经明确同意的情况下将有效上限提高至高达10万美元。

在The Register发布其初始报告后，谷歌退还了这两笔费用。尽管如此，谷歌告诉The Register，它没有计划改变其自动分层升级政策，并表示它优先考虑防止服务中断，而不是执行用户声明的预算偏好。与此同时，还有一个单独的问题：当开发人员试图关闭时，会发生什么。

《纪事报》本周报道，安全公司合气道的研究发现，即使是发现被泄露的密钥并立即删除它的开发人员也可能不安全。根据合气道的调查结果，攻击者显然可以继续使用该密钥长达23分钟，因为谷歌的撤销会在其基础设施中逐渐传播。合气道研究员约瑟夫·莱昂（Joseph Leon）告诉The Register，在该窗口期间，成功率是不可预测的——几分钟内，超过90%的请求仍然经过验证——攻击者可以利用这段时间从Gemini中提取文件和缓存的对话数据。

伦也指出，谷歌自己的较新凭证格式似乎没有同样的问题：服务帐户API凭证在大约五秒内撤销，而Gemini的较新的以aq为开头的密钥格式大约需要一分钟。“两者都以谷歌规模运行，两人都认为，对于Google API密钥来说，这个问题在技术上也是可以解决的。”简而言之，Leon表示，23分钟的窗口不是工程限制，而是公司的优先事项。

在阅读德苏萨的建议时值得考虑这一点，该建议很合理，应认真对待。他没有错，但目前平台的处方与他们自己适应的速度之间存在差距，意识到这一点也很好。