ChatGPT和生成式人工智能（AI）对安全团队来说是福还是祸？虽然AI生成恶意代码和钓鱼电子邮件的能力带来了新的挑战，但同时也为一系列的防御用例打开了大门。最近，普华永道的一些顶级分析师分享了他们对生成式AI和ChatGPT等工具将如何影响网络安全格局的看法。总体而言，分析师们乐观地认为，从长远来看防御用例将上升，从而打击人工智能的恶意使用。

以下是普华永道分析师们关于未来AI将如何影响网络安全的预测：

1. AI的恶意使用

在AI的运用方式上，我们正处于一个拐点，这种范式转变会影响到每个人、每件事。与此同时，它也可能被恶意威胁行为者所利用，例如恶意软件和复杂的网络钓鱼电子邮件。鉴于AI未来的能力和潜力存在许多未知因素，企业必须制定强大的流程来建立抵御网络攻击的弹性。还需要以社会价值观为基础的监管，规定这种技术的使用要合乎道德。与此同时，我们需要成为这些工具的“聪明使用者”，并考虑需要什么样的保障措施，才能让AI在提供最大价值的同时将风险降至最低。

2. 保护AI训练和输出

现在生成式AI已经达到了可以帮助公司转变业务的地步，对于领导者来说，与那些深刻理解如何应对日益增长的安全和隐私考虑的公司合作非常重要。原因有两方面，首先，企业必须保护他们训练AI的方式，因为他们从微调模型中获得的独特知识将对他们如何运营业务、提供更好的产品和服务、以及如何与员工、客户和生态系统互动至关重要。其次，公司还必须保护他们从生成式AI解决方案中获得的提示和响应，因为这会反映出公司的客户和员工正在利用该技术做些什么。

3. 设置生成式AI使用策略

当企业可以用自己的内容、文档和资产进一步训练（微调）生成式AI模型时，就会产生一些有趣的业务用例，从而可以在上下文中运行其业务的独特功能。通过这种方式，企业可以用他们独特的IP和知识来扩展生成式AI。

这就凸显了安全和隐私的重要性。对于企业来说，提示生成式AI生成内容的方式应是企业的隐私。幸运的是，大多数生成式AI平台从一开始就考虑到了这一点，并被设计为支持提示、输出和微调内容的安全性和隐私性。然而，现在的用户都意识到了这一点。因此，所有企业都必须为生成式AI的使用制定政策，以避免机密和私人数据进入公共系统，并在其业务范围内为生成式AI建立安全可靠的环境。

4. 安全审计现代化

使用生成式AI来为审计领域提供创新具有惊人的可能性。复杂的生成式AI能够在使用简单易懂的语言编写时，根据特定情况做出反应。这项技术提供单点访问信息和指导，同时还支持文档自动化和分析数据以响应特定的查询，这是非常高效的，也是一项双赢的技术。

5. 更注重数据卫生和评估偏差

任何输入AI系统的数据都有被窃取或滥用的风险。首先，确定要输入到系统中的正确数据将有助于降低因攻击而丢失机密和私人信息的风险。此外，进行正确数据收集，以开发详细和有针对性的提示，并将其输入系统，这样就可以获得更有价值的输出。一旦获得了输出，仔细检查系统中任何固有的偏见。在这个过程中，聘请一个由不同专业人士组成的团队来帮助评估任何偏见。编码或脚本解决方案不同，生成式AI是基于经过训练的模型，因此它们提供的响应不是100%可预测的。生成式AI最可信的输出需要幕后技术和使用者之间的合作。

6. 紧跟不断演变的风险

现在生成式AI正在得到广泛采用，实施强有力的安全措施是确保不受恶意行为者威胁的必要条件。这项技术使得网络犯罪分子可以更容易地制造深度伪造，以及实施恶意软件和勒索软件攻击，企业需要为这些挑战做好准备。但最有效的网络应对措施仍未受到重视：通过保持基本的网络卫生，并压缩庞大的遗留系统（legacy system），企业可以减少网络犯罪分子的攻击面。此外，整合运营环境可以降低成本，使公司能够最大限度地提高效率，并专注于改进网络安全措施。

7. 创造新岗位和责任

总体而言，我们建议公司考虑采用生成式AI，而不是创建防火墙和采取抵制态度，但前提是要有适当的保障措施和风险缓解措施。生成式AI在如何完成工作方面有一些非常有趣的潜力，它实际上可以帮助人们腾出时间进行分析和创造。生成式AI的出现可能会带来与技术本身相关的新就业和责任，并产生确保以道德和负责的方式使用AI的责任。同时还要求利用这些信息的员工开发一项新技能，即能够评估和识别所创建的内容是否准确。

就像计算器被用于完成简单的数学相关任务一样，在生成式AI的日常使用中，仍需应用许多人类才拥有的技能，比如批判性思维和定制化，从而解锁生成式AI的全部潜能。因此，虽然从表面上看，AI自动化手工任务的能力可能会构成威胁，但同时它也可以释放创造力，提高人们技能，并提供契机帮助人们在工作中脱颖而出。

8. 优化网络投资

即使在经济不确定的情况下，公司也不会积极寻求在2023年减少网络安全支出；然而，首席信息安全官的投资决策必须是经济实惠的。他们需要利用更少的资金完成更多事情，这促使他们投资于技术，用自动化的替代方案取代过度的人工风险预防和缓解过程。虽然生成式AI并不完美，但它非常快速、高效和一致，技能也在迅速提高。通过实施正确的风险技术，企业可以节省资金、时间和人力，并能够更好地定位和承受未来的任何不确定性。

9. 防御能力进一步增强

虽然推出生成式AI功能的公司重视保护性，以防止恶意软件、错误或虚假信息的创建和传播，但我们需要假设生成式AI将被恶意行为者用于这些目的的情况，并走在这些考虑因素之前。

在2023年，我们有很大的概率可以看到威胁情报和其他防御能力进一步增强，以更好地利用生成式AI。生成式AI将在效率和实时信任决策方面取得根本性的进步。可以肯定的是，生成式AI将对每个行业中的公司和行业运营方式产生深远影响。普华永道认为，这些进展将继续由人类主导，并受技术推动，2023年技术进步速度将加快，并为未来几十年的发展奠定方向。

10. 威胁防范和合规风险管理

医疗卫生行业拥有大量的个人信息，而随着威胁形势的不断演变，该行业越来越成为恶意行为者的攻击目标。因此，医疗行业高管正在增加他们的网络预算，并投资于自动化技术，这些技术不仅有助于防止网络攻击，还可以管理合规风险，更好地保护患者和员工数据，降低医疗成本，消除流程效率低下等。随着生成式AI的不断发展，确保医疗保健系统安全的相关风险和机遇也在不断发展，这凸显了医疗行业在建立网络防御和弹性的同时接受AI新技术的重要性。

11. 实施数字信任战略

生成式AI等技术的快速创新，加上不断演变的拼凑式监管和对机构信任的侵蚀，催生了对更具战略性的发展方式的需求。而通过采用数字信任战略，企业和组织可以更好地协调传统的孤立功能，如网络安全、隐私和数据治理，从而能够预测风险，同时为企业释放价值。