谷歌云COO警告：AI安全必须内置

关键信息

De Souza认为，没有数据战略和安全战略，就不存在真正的AI战略，而且企业应在不同云和不同模型之间保持一致的安全态势。他还指出，攻击窗口已经大幅缩短，初始入侵到下一阶段攻击的时间从8小时降到22秒，并提到智能体可能会发现被遗忘的旧数据仓库，例如老旧的SharePoint服务器。

资讯摘要

在洛杉矶一场活动的后台采访中，Google Cloud首席运营官Francis de Souza把当前阶段描述为AI安全的过渡期。他的核心观点是，企业在采用AI时不能把安全当成事后补丁。相反，他认为企业需要采用平台化方法，把安全、治理和可审计性从系统设计之初就嵌入进去。De Souza特别点名“影子AI”是一项重大风险，担心员工绕开正式管控使用消费级AI工具，会让企业暴露在自己看不见的风险之中。他还表示，AI战略不能脱离数据战略和安全战略，因为这三者必须同步推进。

面对“这像不像是在给Google Cloud做广告”的质疑，他强调Google接受多云现实，并指出即使企业名义上只选一个云，也往往会通过SaaS应用和业务伙伴接触到多个云环境。因此，企业需要一种能够跨云、跨模型保持一致的安全态势。De Souza进一步指出，威胁环境已经变化得非常快，传统防御方式已经跟不上，因为从一次初始入侵到攻击下一阶段的时间，已经从8小时缩短到22秒。他还提醒，AI会把攻击面从传统网络边界扩展到模型、训练数据管道、智能体和提示词，而具备自主行动能力的系统还可能发现企业内部被遗忘的数据仓库，并把原本“没人知道在哪”的数据暴露出来。

资讯正文

我最近有机会在洛杉矶一场活动的后台，与 Google Cloud 首席运营官 Francis de Souza 坐下来聊了聊。在我们周围的喧嚣之中，de Souza 以一种像大学教授一样平静、审慎的方式发言，为那些正在应对我们当下所处的 AI 安全时刻的公司提供了有用建议。他指出：“会有一个过渡期，然后我认为我们会到达一个更好的地方。”

他当时并不是在谈论 Google，但很明显，即便是 Google 也仍在摸索中。

de Souza 的核心信息，是安全专业人士多年来一直试图让高管们内化的一点，如今因 AI 而变得更加紧迫：安全不能是事后才考虑的事情。“当公司踏上这段 AI 旅程时，他们需要采取平台化的方式，”他说，“安全不是你以后可以再加上去的东西，也不是你可以放任员工自己处理的东西。”他特别警告了“shadow AI”——员工在缺乏组织监督的情况下转向消费级工具——并主张公司必须从一开始就要求平台具备安全性、治理能力和可审计性。“如果没有数据战略和安全战略，就不存在所谓的 AI 战略。它们必须并肩前行。”

值得注意的是：他并不只是单纯在推销 Google Cloud。当我指出他的建议听起来像一则 Google 广告时，他进行了反驳。他说，Google 坚持多云策略，并且他提出，认为自己只在单一云上运营的公司，几乎肯定并非如此。“即使他们选择了单一云，他们也依赖 SaaS 应用程序，还会有业务伙伴可能在使用不同的云，”他说，“对公司而言，拥有一种跨云、跨模型都保持一致的安全态势非常重要。”

他还认为，威胁格局已经发生了如此根本性的变化，以至于旧有的防御模型已经过于迟缓。他提到，从最初入侵到攻击进入下一阶段的平均时间，已经从 8 小时缩短到 22 秒，而攻击面也已经远远超出传统网络边界。“除了你通常的资产之外，你现在还有模型。你有用于训练模型的数据管道。你有代理，你有提示词。所有这些都需要被保护起来。”

de Souza 提到的一种没有得到足够关注的威胁是：在公司的内部系统中穿行的代理，可能会暴露出那些多年都没人想到过的遗忘数据存储库。“很多组织都有老旧的 SharePoint 服务器［以及访问控制］，他们其实并没有真正更新过，但这并不重要，因为根本没人知道它们在哪里。但在你的企业里四处游走的代理会找到这些数据资产，并且会暴露其上的数据。”

在他看来，答案是用机器速度对抗机器速度。他说：“我们现在看到的是一种 AI 原生、完全代理式防御的出现，组织可以运行代理来驱动它们的防御。‘“与其采用由人主导的防御，甚至是有人在环中的防御，现在你可以让人类监督一个完全代理式的防御。”他补充说，这已经不仅是技术问题，而是领导层问题。“这是董事会层面的问题，也是高管团队层面的问题。它不只是安全团队的问题。”

但即便 AI 承担了越来越多的防御工作，能够监督它的人仍然供不应求——而 AI 本身引入的漏洞增长速度又快于安全团队应对它们的速度。领英首席信息安全官 Lea Kissner 本周对《纽约时报》说：“我们需要有人来应对 bug-pocalypse。”她补充说，至少在未来几年内，她不认为业界能以任何可持续的长期方式真正理解 AI 安全。

这又把我们带回到平台提供商本身。《The Register》在过去几周发布了一系列报道，记录了大量 Google Cloud 开发者在未授权调用 Gemini 模型 API 后遭遇五位数账单的情况——这些服务中，许多人此前从未使用过，或从未有意启用过。相关案例遵循着熟悉的模式：最初按照 Google 自己的说明公开部署的 Google Maps API 密钥，悄无声息地变得可以访问 Gemini，因为 Google 扩大了它们的权限范围，却没有清楚披露这一变化。

面试准备平台 Prentus 的首席执行官 Rod Danan 表示，攻击者利用他被盗的 API 密钥后，他的账单在大约 30 分钟内飙升至 10,138 美元。总部位于悉尼的开发者 Isuru Fonseka 的账户也以类似方式遭到入侵，尽管他认为自己设置了 250 美元的消费上限，却在醒来后发现自己被收取了约 17,000 澳元。两人都不知道的是，Google 的自动系统会根据账户历史将他们的计费层级升级，从而在未获得明确同意的情况下，把他们的有效上限提高到高达 100,000 美元。

在《The Register》发布最初报道后，Google 向两人都退还了费用。尽管如此，Google 告诉《The Register》，它无意改变自动升级层级的政策，并表示其优先考虑的是防止服务中断，而不是强制执行用户所声明的预算偏好。

与此同时，还存在另一个单独的问题：当开发者试图关停一切时会发生什么。《The Register》本周报道了安全公司 Aikido 的研究，发现即使开发者发现了被盗用的密钥并立即将其删除，也未必安全。根据 Aikido 的发现，攻击者似乎可以继续使用该密钥长达 23 分钟，因为 Google 的撤销会在其基础设施中逐步传播。Aikido 研究员 Joseph Leon 告诉《The Register》，在这段窗口期内，成功率是不可预测的——有些分钟里，超过 90% 的请求仍然能够通过身份验证——而攻击者可以利用这段时间从 Gemini 中外泄文件和缓存的对话数据。

莱昂还指出，谷歌自身更新的凭证格式似乎并没有同样的问题：服务账号 API 凭证大约 5 秒就会失效，而 Gemini 新的、以前缀 AQ 开头的密钥格式大约需要 1 分钟。“这两者都在谷歌规模下运行，”他在 Aikido 的相关论文中写道。“这两者都表明，对于谷歌 API 密钥来说，这在技术上也是可行的。”简而言之，按照莱昂的说法，这个 23 分钟的窗口并不是工程上的限制，而是公司优先级的问题。

在阅读德索萨的建议时，这一点值得考虑。他的建议是合理的，也应该被非常认真地对待。他并没有错，但目前各个平台所倡导的做法，与它们自身适应的速度之间仍然存在差距，而这一点也值得注意。

来源与参考

1. 原始链接
2. Everyone is navigating AI security in real time -- even Google | TechCrunch