AI安全仍在实时摸索中——连谷歌也不例外
我最近在洛杉矶一场活动的后台与谷歌云COO Francis de Souza对谈。他语气冷静、像大学教授一样娓娓道来,给正在经历AI安全“当下时刻”的企业提出了建议:会有一段过渡期,之后我们会进入更好的阶段。但即便如此,连谷歌也仍在摸索。
他的核心观点是安全不能是事后补救,AI时代更是如此。企业需要采用平台化路径,安全不能等最后“外挂”,也不能指望员工自发承担。他特别提醒“影子AI”的风险——员工擅自使用消费级工具——并主张从一开始就要求平台具备安全、治理与可审计性。“没有数据战略和安全战略的AI战略并不存在,它们必须并行。”
值得注意的是,他并非只在推销谷歌云。当我说这听起来像广告时,他强调谷歌支持多云,并指出几乎没有企业是真正的单一云:即便选定一家云,也会依赖SaaS应用或与使用其他云的伙伴协作,因此必须跨云、跨模型保持一致的安全姿态。
他还认为威胁格局已彻底改变,传统防御过慢:从初始入侵到下一阶段的平均时间已从8小时缩短到22秒,攻击面也已越过传统网络边界。如今需要保护的对象除了系统与网络,还有模型、训练数据管道、代理与提示词等全新资产。
他警示的另一个常被忽视的风险是:代理在企业内部系统中穿行时,会挖出多年无人注意的旧数据资产。比如老旧的SharePoint服务器与访问控制,过去因“没人知道在哪”而无事,但代理会找到并暴露这些数据。
因此,他主张用机器速度对抗机器速度,发展AI原生、全代理化防御体系,让人类从主导转向监督。他强调这已是董事会与高管层的问题,而非单纯的安全团队议题。
但现实是,能监督AI防御的人才供给不足,而AI本身引入的漏洞在加速累积。LinkedIn首席信息安全官Lea Kissner本周对《纽约时报》表示,将需要人力处理“漏洞大爆发”,行业短期内难以形成长期可持续的AI安全理解。
文章随后将视角拉回平台提供商自身。《The Register》近几周披露,多名谷歌云开发者因Gemini模型遭遇未经授权的API调用而收到五位数账单,且不少人从未使用或主动启用该服务。问题源于谷歌扩展了原本用于Google Maps的API密钥权限,却未清晰告知,导致公开部署的密钥可被滥用访问Gemini。
采访准备平台Prentus的CEO Rod Danan称,攻击者利用其泄露的密钥在约30分钟内产生了10,138美元费用;悉尼开发者Isuru Fonseka也在自认为有250美元额度上限的情况下,被扣约1.7万澳元。两人都不知道谷歌的自动系统会根据账户历史上调计费等级,将实际上限提高到最高10万美元且未征得明确同意。
谷歌在《The Register》初次报道后为两人退款,但表示不会改变自动上调计费等级的政策,理由是优先避免服务中断,而非严格执行用户预算偏好。
另一个问题是密钥泄露后的“关闭窗口”。《The Register》本周引述安全公司Aikido的研究称,即便开发者发现密钥泄露并立刻删除,攻击者仍可在最长23分钟内继续调用,因为撤销需要在谷歌基础设施中逐步传播。在这段时间内,请求成功率不稳定,有些分钟仍超过90%,足以被用来窃取文件与Gemini缓存对话数据。
Aikido研究员Joseph Leon还指出,谷歌较新的凭据格式并无同样问题:服务账号API凭据约5秒即可撤销,Gemini以AQ前缀的新密钥约1分钟。他在相关论文中写道,两者都运行在谷歌规模下,说明API密钥的23分钟窗口并非技术限制,而是优先级选择。
这些情况需要与de Souza的建议一并看待。他的观点是正确的,但平台提出的安全要求,与其自身适配与改进的速度之间确实存在落差,读者应有所警惕。
京公网安备11010502060331号