Великобритания и США, а также международные партнеры в 16 других странах опубликовали данные по безопасности.ИИ (ИИ) Новое руководство по разработке системы.
СШАинформационная безопасностьА Агентство по безопасности инфраструктуры (CISA) заявило: «Этот подход отдает приоритет ответственности клиентов за результаты безопасности, предполагает радикальную прозрачность и подотчетность, а также устанавливает организационную структуру, в которой безопасность по замыслу является главным приоритетом».
Национальный центр кибербезопасности (NCSC) добавил, что его цель — улучшить кибербезопасность искусственного интеллекта и помочь обеспечить безопасное проектирование, разработку и внедрение этой технологии.
Руководство также основано на постоянных усилиях правительства США по управлению рисками, создаваемыми искусственным интеллектом, обеспечивая полное тестирование новых инструментов перед их публичным выпуском, наличие соответствующих гарантий для устранения социального вреда, такого как предвзятость и дискриминация, а также проблемы конфиденциальности. и создание надежных способов для потребителей идентифицировать материалы, созданные с помощью ИИ.
Обязательства также требуют, чтобы компании взяли на себя обязательство поощрять третьи стороны обнаруживать и сообщать об уязвимостях в их системах искусственного интеллекта с помощью системы вознаграждений за ошибки, чтобы эти уязвимости можно было быстро найти и устранить.
В NCSC заявили, что последнее руководство «помогает разработчикам гарантировать, что кибербезопасность является одновременно важной предпосылкой безопасности систем искусственного интеллекта и ее неотъемлемой частью с самого начала и на протяжении всего процесса разработки, так называемого подхода «безопасности по проекту».
Это включает в себя безопасную конструкцию,Безопасное развитие, безопасное развертывание и безопасные операции, охватывающие все важные области жизненного цикла разработки систем искусственного интеллекта, требующие от организаций моделирования угроз для своих систем и защиты своих цепочек поставок и инфраструктуры.
Агентства отмечают, что они также предназначены для борьбы с состязательными атаками на системы искусственного интеллекта и машинного обучения (ML), которые призваны вызывать непреднамеренное поведение различными способами, в том числе влиять на классификацию модели и позволять пользователям выполнять несанкционированные действия. конфиденциальной информации.
NCSC заявляет: «Существует множество способов достижения этих эффектов, таких как атаки с использованием подсказок в области больших языковых моделей (LLM) или преднамеренное искажение обучающих данных или отзывов пользователей (известное как «отравление данных»).
управляющее резюме
В этом документе представлены рекомендации для поставщиков любых систем, использующих искусственный интеллект (ИИ), независимо от того, созданы ли эти системы с нуля или построены на инструментах и услугах, предоставляемых другими. Внедрение этих рекомендаций поможет поставщикам создавать системы искусственного интеллекта, которые работают должным образом, доступны при необходимости и работают без утечки конфиденциальных данных неавторизованным лицам.
Этот документ в первую очередь предназначен для поставщиков систем искусственного интеллекта, которые используют модели, размещенные в их организациях, или используют внешние интерфейсы прикладного программирования (API). Мы призываем всех заинтересованных лиц, включая специалистов по данным, разработчиков, менеджеров, политиков и владельцев рисков, прочитать эти рекомендации, чтобы помочь им принимать обоснованные решения о проектировании, разработке, развертывании и эксплуатации систем искусственного интеллекта.
О руководстве
Системы искусственного интеллекта могут принести много пользы обществу. Однако для полной реализации возможностей ИИ его необходимо разрабатывать, внедрять и эксплуатировать безопасным и ответственным образом.
Системы искусственного интеллекта представляют новые уязвимости безопасности, которые необходимо учитывать наряду со стандартными угрозами кибербезопасности. Когда разработки происходят быстро (как в случае с искусственным интеллектом), безопасность часто отходит на второй план. Безопасность должна быть основным требованием не только на этапе разработки, но и на протяжении всего жизненного цикла системы.
С этой целью в руководстве подразделяются четыре ключевые области жизненного цикла разработки систем искусственного интеллекта на: безопасное проектирование, безопасная разработка, безопасное развертывание и безопасная эксплуатация и обслуживание. Для каждого раздела мы рекомендуем рекомендации и меры по снижению рисков, которые помогут снизить общий риск процесса разработки системы искусственного интеллекта в организации.
1. Конструкция безопасности
В этом разделе содержатся рекомендации, применимые к этапу проектирования жизненного цикла разработки системы ИИ. Он охватывает понимание моделирования рисков и угроз, а также конкретные темы и компромиссы, которые необходимо учитывать при разработке систем и моделей.
2. Развитие безопасности
В этом разделе содержатся рекомендации, применимые к этапам жизненного цикла разработки системы ИИ, включая безопасность цепочки поставок, документацию, а также управление активами и техническим долгом.
3. Безопасное развертывание
В этом разделе содержатся рекомендации, применимые к этапу развертывания жизненного цикла разработки системы ИИ, включая защиту инфраструктуры и моделей от повреждений, угроз или потерь, разработку процессов управления инцидентами и ответственные выпуски.
4. Безопасная эксплуатация и обслуживание.
В этом разделе содержатся рекомендации, применимые к этапу обеспечения безопасности жизненного цикла разработки системы ИИ. Он содержит рекомендации по действиям, которые особенно актуальны после развертывания системы, включая ведение журналов и мониторинг, управление обновлениями и обмен информацией.
Руководство следует подходу «безопасность по умолчанию» и тесно согласуется с практиками, определенными в «Руководстве по безопасной разработке и развертыванию» NCSC, «Среде безопасной разработки программного обеспечения» NIST и «Принципах безопасности по дизайну», опубликованных CISA, NCSC и международными киберагентствами.
Факторы, которые следует учитывать:
- Ответственность за результаты в области безопасности для клиентов
- Примите радикальную прозрачность и подотчетность
- Создайте организационную структуру и руководство, чтобы сделать безопасность задуманной главным бизнес-приоритетом предприятия.
Руководство по разработке безопасной системы искусственного интеллекта Скачать:
Оригинал статьи, автор: lyon, при перепечатке указать источник: https://cncso.com/ru/release-guidelines-for-secure-artificial-intelligence-system-development.html