解构AI安全产业链条、解决方案和创业机遇( 六 ) _AI安全

“混合数据”和“数据可用不可见”是当下应用最多的隐私计算方法之一。生长于金融场景的蚂蚁科技对数据安全的探索已经比较靠前，目前，蚂蚁科技通过联邦学习、可信执行环境、区块链等技术，解决了企业协同计算过程中的数据安全问题，实现数据可用不可见、多方协同等方式，保障数据隐私，并在全球隐私计算领域都有较强的竞争力。
但从数据的角度来看，合成数据更能从根本解决问题。在《ChatGPT启示录系列丨 Al lnfra下隐藏的千亿市场》一文中，「自象限」就曾提到过，合成数据或成AI数据的主力军。合成数据即由计算机人工生产的数据，来替代现实世界中采集的真实数据，来保证真实数据的安全，它不存在法律约束的敏感内容和私人用户的隐私。
比如用户小A有10个特点、用户小B有10个特点、用户小C有10个特点，合成数据将这30个特点进行随机打散匹配，形成3个全新的数据个体，这并不对准真实世界的任何一个实体，但却有训练价值。
目前企业端已经在纷纷部署，这也导致合成数据数量正在以指数级的速度向上增长。Gartner研究认为，2030年，合成数据将远超真实数据体量，成为AI数据的主力军。

文章插图
▲ 图源Gartner官方
对于API，熟悉大模型的人一定不陌生，从 OpenAI 到 Anthropic、Cohere 乃至 google 的 PaLM，最强大的 LLM 都以 API 的方式交付能力。同时，根据Gartner的研究，2022年，超过九成Web应用程序遭到的攻击来自API，而不是人类用户界面。
数据流通就像水管里的水，只有流通起来才有价值，而API就是数据流动的关键阀门。随着 API 成为软件之间交流的核心纽带，它越来越有机会成为下一个诞生重要公司。
API最大的风险，来自于过度许可，为了让API不间断运行，程序员经常给API授予较高权限。黑客一旦入侵API，就可以使用这些高权限来执行其他操作。这已经成为一个严重问题，根据Akamai的研究，针对API的攻击已经占全球所有账户窃取攻击的75% 。
这也就是为什么ChatGPT已经开放了API接口，仍然会有不少企业通过购买Azure提供的OpenAI服务来获取ChatGPT 。通过API接口连接，等同于将对话数据直供给OpenAI，且随时面临着黑客攻击的风险，而购买了Azure的云资源，便可以将数据存储在Azure的公有云上，来保障数据安全。

文章插图
▲ 图：ChatGPT官网
目前API安全工具主要分为、检测、防护与响应、测试、发现、管理几大类；少数厂商宣称能提供完整覆盖API安全周期的平台工具，但如今最流行的API安全工具主要还是集中在“防护”、“测试”、“发现”三个环节：
目前，主流API安全厂商集中在国外公司，但大模型兴起后，国内创业公司也开始发力。成立于2018年星澜科技是国内为数不多的API全链条安全厂商，基于AI深度感知和自适应机器学习技术，帮为解决API安全问题，从攻防能力、大数据分析能力及云原生技术体系出发，提供全景化API识别、API高级威胁检测、复杂行为分析等能力，构建API Runtime Protection体系。

文章插图
▲ 星澜科技API安全产品架构
一些传统网络安全公司也在向API安全业务方向转型，比如网宿科技此前主要负责IDC、CDN等相关产品和业务。
▲ 图源：网宿科技
防火墙在互联网时代的重要性不言而喻，如同走在万里高空两边的扶手，如今，防火墙概念已经从前台走向了后台，内嵌在了硬件终端和软件操作系统中。简单粗暴的，可以将SSE理解为一种新型的防火墙，靠访问者身份驱动，依靠零信任模型来限制用户对允许资源的访问。
根据Gartner的定义，SSE （Security Service Edge）为一组以云为中心的集成安全功能，保护对Web、云服务和私有应用程序的访问。功能包括访问控制、威胁保护、数据安全、安全监控以及通过基于网络和基于API的集成实施的可接受使用控制。
SSE包括安全Web网关、云安全代理和零信任模型三个主要部分，对应着解决不同的风险：
然而不同的SSE厂商可能针对上述某一个环节，或者见长于某一个环节。目前海外SSE主要整合的能力包括安全网络网关（SWG）、零信任网络访问（ZTNA）、云访问安全代理（CASB）、数据丢失防护（DLP）等能力，但国内云的建设相对来说也还处于早期阶段，并没有欧美国家这么完善。