AI x Security创新者观察(一):AI安全赛道厂商

AI技术与网络安全行业的融合,催生了很多技术、产品、场景不同层次的创新。针对这一交叉领域,笔者跟踪了近两年初创公司及大厂产品发布、融资情况以及各类赛事的公开材料,用以研究AI与安全结合的创新机会。


01 框架


分类逻辑如下:首先分为AI for Security和Security for AI两个方向。

  • AI for Security:使用AI技术赋能已有的安全产品。

    • 例如:微软推出Security Copilot,集成在已有安全产品中以简化人工运营。

  • Security for AI:将AI应用视为一个新的场景,这一场景的变化将重新组合新老技术,形成新的解决方案。

    • 例如:Reality Defender检测图片及音视频是否由AI生成,以应对AIGC用于金融欺诈、舆情操纵方面的风险。


02 AI安全赛道

本文仅讨论「Security for AI」部分,这一部分的过去两年的相关企业也有大几十家,可以说是泛安全行业最火的赛道,因此需要继续细分:

  1. AI系统的安全问题:AI应用本身也是软件、信息系统,也需要进行信息安全(CIA)的防护。

  2. AI的可信问题:AI应用本身的行为是否可信,以合规场景为主的商业化场景。

  3. AI的滥用问题:黑灰产利用AI技术实施欺诈的防范问题。


03 AI系统安全问题


AI系统首先是一个软件、一个信息系统,因此信息安全的CIA(机密性,完整性,可用性)仍然需要保护。

从攻防的视角而言,「AI系统」作为一个新的对抗场景,其攻击方式出现了很多变化,这和前些年「云安全」作为市场化热点,厂商纷纷发布“攻(防)技战法矩阵”如出一辙。

MITRE、OWASP针对AI模型/AI系统攻击手段的总结

从技术角度,上述Matrix里绝大部分问题可以复用已有安全能力来解决。因此,在这方面初创公司里能够看到“面向AI场景”的WAF、EDR、IDS甚至SecOps、供应链安全等等产品——老技术,新场景——目前已有颇多安全初创/大厂介入。

差异之处在于AI模型层的攻击手段。这部分技术发展包含了大量的学术界的贡献,从14年Adversarial Examples的提出,到17年的One Pixel Attack,到ADVbox提出系统化的模型层红蓝对抗,将攻击定义为投毒(Poisoning)、逃逸(Evasion)、模型提取(Extraction)和推断(Inference)四大类,到后来GPT的Jailbreak以及“奶奶攻击”,相关技术一直在对抗发展。


初创厂商清单



代表厂商:HiddenLayer


HiddenLayer——AI安全赛道的明星厂商,22年3月创立于美国德州,23年获RSAC创新沙盒冠军,随后9月的A轮5000万融资是目前AI安全赛道最高A轮融资额。

早期Hiddenlayer推出的三款核心业务包括:MLDR(Machine Learning Detection & Response)、模型扫描器、配套安全服务。随后,前两者被整合为一个平台型产品(Hiddenlayer AISec Platform),主要采用本地化部署的形式进行售卖。

MLDR产品的部署模式类似SaaS化的EDR产品,包含:1)模型端部署的本地化探针-下图右上绿色部分,2)云端的检测能力API-下图右下蓝色部分。

探针从AI应用本地获取用户的Query和Response,上传到云端API进行研判,生成告警并回吐到产品运营平台或第三方运营工具。由于本地Agent存在部署问题,Hiddenlayer也和主流的MLOps平台进行适配合作,以简化用户的部署成本。


04 AI可信(合规)问题


AI的可信问题(AI Trust, AI Governance),即关注AI本身是否对人类和社会而言是安全、可靠、积极的。

这一话题往大了说关于自主意识、超级对齐 vs e-acc的讨论,离商业化太远;往小了说就是当前各个国家、组织对AI应用的合规需求。

合规需求包括欧盟人工智能法案(the EU AI Act)、地方性针对AI应用的限制法案如NYC 144、Colorado Law SB21-169,以及一些标准化组织发布的AI应用治理标准,如NIST AI RMF。


初创厂商清单


此类合规产品和安全行业已有的合规产品形态类似,包括简洁的部署方式(多为SaaS-云平台API直接对接)、详细的量化指标和图表、以及每条法规和现有资产的映射。

Credo的合规功能页面

 Cranium的工作流程



05 AI滥用问题


技术是双刃剑,当黑灰产使用AI技术伪造不实信息获利时,需要有对应的技术手段来区分信息的真伪。

例如,攻击者可以使用AI生成的人物绕过金融支付的KYC环节,或者通过发布伪造知名人士的演讲视频操纵舆论,甚至在国家之间的信息战领域也看到了AI技术的发挥。

图片来源:"GenAI Against Humanity: Nefarious Applications of Generative Artificial Intelligence and Large Language Models"

「AI滥用」是一个AI、安全与各个行业广泛交叉的领域。

一方面,传统反欺诈、舆情分析、内容审查等赛道的供应商陆续发布了对AI生成内容的检测能力。另一方面,Reality defender此类专注于AIGC/DeepFake检测能力的初创厂商也登上RSAC创新沙盒的final list进入公众视野。

从技术角度而言,AIGC检测或DeepFake检测技术类似“AI时代的杀毒引擎”,通过信息的生成方式来判断一条信息的真实性,这一价值场景更大。此外,数字水印技术也被提出用于AI生成内容识别,如Google SynthID。

DeepFake / Image / Video 识别领域初创厂商

其他厂商推出的DeepFake识别能力


AI生成文本识别领域

AI生成文本检测领域,典型的商业化场景是学术造假检测。

目前,国内用于毕业论文查重的「知网」也已经集成了AI文本检测能力。在攻击者视角,也有很多「AIGC免杀」工具(AI Humanizer),能够改写AI生成的文本,防止被识别为AI内容。

Copyleaks 用于检测AI生成文本的浏览器插件

AIGC免杀工具将AI生成文本进行拟人化


AI生成文本检测厂商及工具


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐