生成式人工智能的管理与风险

主要观点

生成式人工智能GenAI正在迅速改变行业，特别是科技和网络安全领域。预计到2027年，企业使用的行业或功能特定的GenAI模型将超过50。同时，非人类身份NHI的管理和治理也变得至关重要，因为NHI的数量在企业环境中平均超过人类身份20倍，并且目前的管理非常薄弱，造成了许多安全风险，如数据泄漏和未经授权的访问。

生成式人工智能GenAI已成为一个游戏规则改变者，正在迅速改变各行各业，特别是在技术和网络安全领域。根据Gartner的预测，到2027年，企业使用的业务特定的GenAI模型将从2023年的仅1增长至超过50。

检索增强生成RAG架构，通过结合大型语言模型LLMs与行业特定数据来支持聊天和问答应用，已成为企业GenAI实施的首选基础架构。利用RAG框架，公司可以构建高度定制化的应用以适应其工作流程。

SC Media观点专栏由SC Media网络安全专家社区撰写。 在这里阅读更多观点 。

尽管如此，在数据隐私、完整性和安全性方面的挑战仍然存在。因此，组织需要专注于适当的非人类身份NHI管理与治理。

根据最近的ESG研究，在企业环境中，NHI的数量平均比人类身份多20倍。NHI是一种数字建构，描述了用于机器对机器通信的凭证访问。这些身份包括服务帐户、令牌、访问密钥以及API密钥。它们是增长最快且管理最少的身份类型，也是组织中危险的攻击面。

尽管人类身份通常会通过完善的治理流程和成熟的治理与特权访问管理PAM系统进行管理，但NHI往往被忽视。这些身份经常由开发人员和DevOps团队直接在云平台、SaaS应用、Kubernetes集群和CI/CD管道中创建，并常常跳过标准的IT工作流程和安全检查。未经管理的NHI可能会形成隐藏的漏洞，攻击者可以轻易地利用这些漏洞。ESG的研究指出，在过去12个月内，超过46的组织曾遭受过NHI的违规事件。

NHI的快速和广泛创建，加上缺乏集中追踪系统，导致了重大的治理问题。这可能会导致严重的安全风险，如数据泄漏和未经授权的访问。传统的安全工具，例如为人类用户设计的PAM系统，无法追踪NHI在其生命周期中的情况或理解它们与应用、数据和其他资源的关系。缺乏这种上下文理解，PAM工具无法有效地管理或保护不断增长的NHI数量。

NHI和RAG的风险

数据源及相应的访问方法是NHI与RAG相关风险的核心。存储帐户经常用作非结构化数据的存储库，在基于RAG架构的应用实施中尤为重要。探索在云环境中用于存储帐户的某些访问方法，突显了潜在风险。

例如，Azure Blob存储允许多种身份和访问管理方法，如SAS令牌、服务主体Entra ID和访问密钥。在配置这些访问方法时，务必要遵循最小特权原则，并遵循最佳实