NCSC、CISA 等国际机构发布新的 AI 安全指南

划重点:

🔸 英国国家网络安全中心（NCSC）、美国网络安全与基础设施安全局(CISA)和其他16个国家的国际机构发布了关于人工智能系统安全的新指南。

🔸 这些指南旨在帮助开发人员在设计、开发、部署和运营 AI 系统时，确保安全性成为其核心组成部分。

🔸 指南内容涵盖了 AI 系统开发生命周期的四个关键阶段:安全设计、安全开发、安全部署和安全运维。

英国国家网络安全中心（NCSC）、美国网络安全与基础设施安全局(CISA)以及其他16个国家的国际机构发布了一份关于人工智能系统安全的新指南。这些《安全 AI 系统开发指南》旨在为开发人员提供指导，确保在设计、开发、部署和运营 AI 系统的过程中，安全性始终成为核心组成部分。然而，其他与 AI 项目有关的利益相关者也可以从这些信息中获益。

这些指南发布之际，世界各国领导人在11月初的 AI 安全峰会上承诺安全和负责任地发展人工智能。《安全 AI 系统开发指南》提出了一些建议，以确保 AI 模型 “按预期运行，需要时可用，并且不会向未经授权的人泄露敏感数据”。其中，“安全即默认” 的原则在现有框架中得到了英国国家网络安全中心、美国国家标准与技术研究所以及其他国际网络安全机构的支持。

图源备注：图片由AI生成，图片授权服务商Midjourney

这项新指南得到了来自18个国家的21个机构和部委的认可和联合签署，包括美国国家安全局和联邦调查局，以及加拿大网络安全中心、法国网络安全局、德国联邦信息安全局、新加坡网络安全局和日本网络安全事故应急处置中心。NCSC 的首席执行官 Lindy Cameron 在新闻稿中表示:“我们知道，人工智能正在以惊人的速度发展，需要在政府和行业之间采取协同行动，保持与其同步。这些指南是塑造全球范围内对 AI 的网络风险和缓解策略的真正全球共识的重要一步。”

《安全 AI 系统开发指南》分为四个部分，分别对应 AI 系统开发生命周期的不同阶段:安全设计、安全开发、安全部署和安全运维。其中，安全设计部分提供了关于 AI 系统设计阶段的具体指导，强调识别风险、进行威胁建模以及在系统和模型设计中考虑各种主题和权衡的重要性。安全开发部分涵盖了 AI 系统开发阶段的建议，包括确保供应链安全、保持全面的文档记录以及有效管理资产和技术债务。安全部署部分涉及 AI 系统的部署阶段，其中的指南包括保护基础设施和模型免受威胁、建立事件管理流程以及采用负责任发布原则。安全运维部分提供了关于 AI 模型部署后的运维阶段的指导，涵盖有效的日志记录和监控、管理更新以及负责任地共享信息等方面。

这些指南适用于所有类型的 AI 系统，指南也适用于所有从事人工智能工作的专业人士，包括开发人员、数据科学家、经理、决策者和其他 “AI 风险负责人”。NCSC 表示:“我们的指南主要针对使用由组织托管的模型的 AI 系统提供商（或使用外部 API 的系统提供商），但我们敦促所有利益相关者阅读这些指南，以帮助他们对设计、开发、部署和运营 AI 系统做出明智决策。” 这些指南与 G7广岛 AI 进程、美国的 AI 自愿承诺以及《安全、可信和可靠人工智能行政命令》保持一致。

继 AI 安全峰会的成果之后，代表来自28个国家的代表在英国历史悠久的布莱切利公园签署了《布莱切利关于 AI 安全的宣言》，强调了安全、负责任地设计和部署 AI 系统的重要性，并强调了合作和透明度。这份宣言承认了解决与尖端 AI 模型相关的风险的必要性，特别是在网络安全和生物技术等领域，并倡导加强国际合作，确保安全、道德和有益地使用人工智能。

网络安全专家和分析师对这些 AI 指南的发布表示欢迎。Darktrace 的全球威胁分析主管 Toby Lewis 称这些指南是对安全和可信任的人工智能系统的 “一个受欢迎的蓝图”。Lewis 在电子邮件中表示:“我很高兴看到这些指南强调 AI 提供商需要保护其数据和模型免受攻击者的攻击，以及 AI 用户需要根据任务选择合适的 AI。构建安全和可信任的 AI 系统，将加速实现 AI 的效益，并使更多人受益。”

Informatica 公司南欧区副总裁 Georges Anidjar 表示，这些指南的发布是 “解决这一快速发展领域内的网络安全挑战迈出的重要一步”。他在通过电子邮件发表的声明中说:“这项国际承诺承认了人工智能与数据安全之间的重要交集，强调了在技术创新和保护敏感信息方面综合和负责任的方法的必要性。看到全球范围内对将安全措施融入 AI 系统的重要性得到认可，这对于为企业和个人创造更安全的数字环境来说是令人鼓舞的。” 他补充说:“从一开始就将安全性纳入 AI 系统是与安全数据管理原则深度契合的。随着组织越来越多地利用 AI 的力量，确保支撑这些系统的数据具备最高的安全性和完整性至关重要。”