Hart Rossman谈生成式AI时代“深度防御”策略该怎么做 原创

从去年的银色亮片夹克，到今年的彩色背带裤，亚马逊云科技安全副总裁Hart Rossman的穿搭，在人群中依旧抢眼。

作为亚马逊云科技的第一位安全顾问，Hart Rossman已在公司工作了13年。今年，他特意以这身造型亮相re:Inforce，是因为要做一场关于如何在亚马逊云科技上构建生成式AI安全基础的分享。

这既是他的个人风格，也为生成式AI安全增加了“可见度”。

Hart Rossman强调，面对生成式AI，企业需要一套“深度防御”策略：先做策略、流程、意识培训和教育，然后才是技术层面的起点，身份与访问控制。

此外，亚马逊云科技也是首个通过FedRAMP High和美国国防部IL-4/5认证的云服务商，适用于Anthropic和Meta基础模型。“我们正在追求最高等级的安全保障来服务客户。”Hart Rossman认为。这并不是终点，亚马逊云科技始终从客户需求出发，持续学习、不断挑战自我，力求把安全性做到更好。

亚马逊云科技安全副总裁Hart Rossman

生成式AI让安全范式发生转移

一年前，大家在面对生成式AI时，提出的问题不是担忧，更多是出于不了解。因为当你没有用过一种新技术是，自然不知道会遇到什么。

Hart Rossman看到生成式AI有两个特别值得注意的现象，这有助于企业理解AI安全的核心基础。

第一个现象是，关于大语言模型，如今的授权模型早已不再是针对单个数据元素，不像过去那样在数据库中设置行级或单元格级别的权限。在大语言模型里，所有信息从技术上讲对用户都是可访问的。那么问题变成，我们该如何为整个模型本身建立访问控制和授权机制，而不是针对模型内部每条数据逐个控制。

亚马逊云科技也在探索如何构建与大语言模型交互的分布式系统，比如RAG框架、API接口、接入外部数据集。但需要注意的是，更多大语言模型的训练是预先完成的，意味着它的访问模型是固化的。

Hart Rossman解释称，这有点像编译型代码和解释型代码的区别：我们习惯在解释型环境里实现授权逻辑，随时查看和调整执行过程；现在一旦模型训练完成，就像代码已经编译好，内部细节便无法再查看或修改。

因此，真正要做的是对“模型本身”进行访问控制和授权，而不是对其底层训练数据进行授权。

第二个现象是，我们正在迈向AI智能体阶段，企业已经开始把AI智能体当作“虚拟同事”来看待。

许多组织将AI智能体视作更复杂分布式系统中的一部分，因此问题变成：如何合理赋予AI智能体权限，确保它在安全可控的前提下完成任务。就像任何深度防御策略一样，一切都要从身份开始，然后是架构、数据、运维、响应。

用生成式AI改写安全运营三大环节

将安全融入开发、升级流程的能力，正在变得越来越重要，亚马逊云科技的安全团队正在三个方面融入生成式AI。

第一是代码辅助，比如，使用Amazon CodeGuru或其他编码助手，开发者可以在编码阶段自动执行安全检查，实现“安全左移”，也就是在软件开发生命周期的早期，就把潜在的安全隐患消除。同时，客户可以通过Amazon Q for Business对旧有Java代码进行升级改造，并在这个过程中自动完成安全加固和依赖项更新。

第二是漏洞评估和渗透测试，很多客户和合作伙伴已经能够实现这类工作的自动化。如果再结合传统的模糊测试（fuzz testing），就能从整体安全测试策略中获得更高质量的检测结果。

第三是，事件响应，事件响应的本质是调查，涉及数据分析、解读和推理。不仅亚马逊云科技客户安全事件响应团队（CIRT）在使用生成式AI辅助调查，很多合作伙伴和客户也开始将生成式AI工具与人类分析师协作，提升事件响应的效率与判断质量。

Hart Rossman最近最常用的服务就是全新的Amazon Security Hub，其在原有基础上进行了全面升级，变得更加直观、易用，带来了既强大又简洁的安全运营体验。他用了新版本一段时间后，现在甚至有些记不清旧版是什么样子了。

他非常喜欢Amazon Security Hub的一点是，关键信息能在关键时刻出现在你面前。他谈到，Amazon Security Hub可以更好地进行漏洞优先级管理，也能直观展现来自Amazon GuardDuty检测的攻击路径。

Hart Rossman的团队负责运营的Amazon Security Response Service，与Amazon GuardDuty 和Amazon Security Hub是深度集成的。这次新功能升级，让团队在处理客户实时安全事件时，响应速度和处置效率都得到进一步提升。