企業如何在生成式AI時代進行「安全的創新」

生成式人工智慧（生成式AI）正在成為任何人都無法忽視的生產力變數。在它的面前，以往的知識與技能壁壘開始鬆動甚至坍塌，並為各領域的創新帶來無窮的可能性。

然而，企業利用生成式AI進行業務創新的同時也不免面臨新的隱憂。企業或組織向生成式AI模型提供資料——很可能是涉及核心業務及客戶資訊的關鍵資料——是否能被妥善地保管、使用，及進行必要的保護；還有生成式AI的一些「固有問題」，例如如何實現負責任的AI（Responsible AI）、過濾有害內容、確保內容符合當地及企業政策等。

一般情況下，規模化生成式AI應用都發生在雲端，更多企業組織也將依賴雲端發展生成式AI的業務創新。因此，我們可以將生成式AI的安全話題，看成是對雲端運算安全提出的新挑戰。

Amazon Web Services（AWS）對AI的研究已持續數年，其中包括生成式AI被廣泛應用後產生的安全需求改變。對於雲端運算安全，AWS的態度是一貫的——在業務初期就考慮安全因素，主動設計而不是被動響應。對於生成式AI相關服務、功能及應用，AWS在其安全的基礎設施之上，在生成式AI服務及功能設計之初就充分考慮了安全因素，並進一步建構負責任AI的防護機制。與此同時，AWS也在利用生成式AI來賦能已有的或新推出的安全服務。這些措施幫助AWS的客戶在使用生成式AI服務時能獲得不遜色於以往任何時候的安全體驗。

從底層基礎設施層面實現對生成式AI工作負載資料的隔離與加密保護

企業使用生成式AI最大的顧慮之一是如何保護資料及隱私安全。企業可能會使用高度敏感的資料，如個人資料、法遵計畫、營運資料及財務資訊，以優化模型或使用生成式AI應用。

企業為了安全地使用生成式AI，首先應考慮三個問題：1）資料在哪裡？企業需要知道使用資料訓練模型的整個工作流程中，這些資料來自哪裡，以及是如何被處理和保護的；2）如何處理模型推論時輸入和輸出的資料？訓練資料並不是企業唯一需要關注的敏感性資料庫，企業查詢本身也應該成為資料保護計劃的一部分；3）生成式AI模型的輸出是否準確？不同的生成式AI的使用場景對準確度和風險的要求不同。如果企業正在使用大型語言模型來生成程式碼，那麼企業就必需要確認這個程式碼是否寫得足夠好，是否遵循了企業的最佳實踐等。

AWS對客戶生成式AI的保護始於其基礎設施。AWS獨有的雲端伺服器虛擬化引擎AWS Nitro將主機CPU/GPU的I/O功能下載至專門的硬體上，不但提供更加一致的效能，其增強的安全性可以在用戶端和雲端全程保護客戶的程式碼和資料在處理過程中的安全。這一獨家功能已經獲得了領先的網路安全公司NCC Group的獨立認證。

Nitro系統提供硬體級別的安全機制，首先從設計上將客戶資料與營運商完全隔離，即AWS作為營運商無法存取客戶在Amazon Elastic Compute Cloud（Amazon EC2）實例上運行的生成式AI相關的工作負載或資料。其次，客戶還可以透過AWS Nitro Enclaves和AWS Key Management Service（AWS KMS），使用金鑰加密敏感的生成式AI資料，將其儲存在指定的位置，並安全地將加密資料傳輸到隔離的運算環境中進行推論運算。

此外，AWS還將AWS Nitro Enclaves和AWS KMS端到端加密流程進一步擴展到AWS Trainium2和其他GPU，強化使用者生成式AI資料在基礎設施設備間的安全通訊。

在生成式AI服務的設計之初就考慮安全性，並成為負責任的AI

除了建構安全的全球雲端基礎設施，AWS的安全不止安全服務，其所有服務均符合安全標準。AWS提倡在新服務的設計初期就考慮安全因素。

以生成式AI完全託管服務Amazon Bedrock為例，作為一項旨在讓客戶便捷地使用基礎模型建構和擴展生成式AI應用程式的雲端服務，Amazon Bedrock在設計之初就考慮了如何發揮基礎設施的安全能力，以及AI服務本身的安全需求。AWS和合作的模型供應商不會使用Amazon Bedrock的任何輸入或輸出資料訓練其基礎模型。

在使用Amazon Bedrock時，客戶的資料在傳輸過程中和靜態儲存時都經過加密，客戶的所有資料都是安全且隱私的。客戶可以使用AWS PrivateLink建立從Amazon Virtual Private Cloud（Amazon VPC）到Amazon Bedrock的私人連線；或者採用基於身分識別的安全性原則，例如在使用AWS KMS新增、管理和控制加密金鑰時，設定哪些用戶或角色可以在什麼條件下對哪些資源進行什麼操作。

對於雲端運算使用者來說，資料與隱私安全並非生成式AI帶來的「新話題」，但生成式AI也確實帶來了「負責任的AI」這種AI時代獨有的安全考驗。當客戶在使用Amazon Bedrock這類的生成式AI服務時，不得不考慮過濾有害內容，確保內容符合當地及企業政策。

為此，Amazon Bedrock具備幫助客戶實現負責任AI的防護機制Guardrails for Amazon Bedrock。相比於一些AI模型僅透過內部控制模組來過濾內容，Amazon Bedrock的防護機制能讓客戶進一步客製化AI應用程式，以便符合不同內容政策的標準。

客戶只需提供一個自然語言描述來設定其應用程式上下文中被過濾的主題，即可打造客製化的防護機制，還可以設定閾值，跨領域過濾如仇恨言論、侮辱、暴力等語言，以及套用篩檢程式來刪除任何個人和敏感資訊、不雅言論或特定的詞彙。透過這種「內建+客製化」的雙重防護機制，更大程度保證基於生成式AI的業務能實踐負責任的AI。

借助生成式AI的能力讓安全更易實現

在雲端環境中，生成式AI並不僅僅是「被保護者」，它本身也能成為提升安全的強大工具，從業務初期就能提醒那些潛在的、未被意識到的風險。程式碼編寫方式是資訊安全中最大的變數之一，一些小問題就可能導致嚴重的資安事件。生成式AI模型本質上也是程式碼，也可能因為程式碼編寫的漏洞而存在安全隱患。從安全角度來看，從一開始就編寫出安全的程式碼，無疑比編寫完成後才進行測試，甚至已經使用後再去修改要好得多。

為了幫助雲端運算客戶做到符合安全需求的程式碼編寫，AWS將AI能力運用到程式碼生成器上，以服務或功能的方式提供給客戶。AWS推出用於IDE（整合式開發環境）和命令列的AI開發工具Amazon Q Developer，是一個機器學習驅動的程式碼生成器，直接在整合式開發環境中為開發人員提供即時的程式碼建議。Amazon Q Developer不僅能極大提升開發人員編寫程式碼的效率，而且還能讓程式碼更加安全。它內建了安全掃描功能，能夠掃描程式碼並檢測難以發現的漏洞，且根據客戶的程式碼，提供專屬的修復建議，幫助開發人員即時、快速地修復漏洞。

Amazon Q Developer同樣為客戶提供了客製化的選擇，以便使用私人的程式碼庫來優化產出成果。為了確保用於開發的資料處於隔離運算環境，以及防止一切未經授權的使用，Amazon Q Developer設定了一系列不可變更的安全機制，包括不同工作負載之間的資料隔離、AWS KMS對靜態資料的加密、基於身分驗證的資料使用授權以及資料儲存時的加密和強制隔離。

一些原有的安全服務也透過生成式AI獲得新的功能。例如漏洞管理服務Amazon Inspector，它的AWS Lambda函數程式碼掃描功能從2023年開始使用生成式AI和自動推論的輔助程式碼修復，以簡化更新易受攻擊程式碼的過程。Amazon Detective也在2023年增加了使用生成式AI建構安全事件描述的能力。生成式AI可以自動分析調查結果群組並以自然語言提供洞察，幫助工程師加快安全檢查。這些基於生成式AI的創新服務和升級，為安全工作創造了更便捷、更高效的新可能。我們可以期待，企業的安全工程師將能夠以更少的工作量來達成目標，使企業得以更從容地應對各類安全風險。

在不遠的未來，生成式AI將如同現在的網際網路與雲端運算一樣變得無處不在。儘管新的數位技術將無可避免地帶來新的安全挑戰，但我們無需為此過分擔憂。成熟的安全防護機制，加上新的安全功能，足以為雲端上的生成式AI業務建構可靠的安全環境。生成式AI本身也成為安全創新的助力，讓新的安全功能更具主動性，更加簡單易用。

雲端運算供應商積累的經驗與智慧，將繼續在AI時代保護用戶的安全。經歷數次重大技術變革之後，安全工作者更知道如何應對變革，讓新事物的到來可控且有序。