《生成式人工智能服务管理暂行办法》即将施行,企业在AI研发过程中如何把控风险

2023-07-25 11:39

以ChatGPT为代表的生成式人工智能正在重塑数字内容的生产方式和消费模式,显著地影响各行各业变革。然而,AI带来的相应危害也层出不穷,网络攻击、数据泄露等风险日益凸显,过度采集、歧视性算法,滥用深度伪造等问题可能严重影响社会经济运行。


为促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。近期,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》(以下称《办法》),该《办法》将于2023年8月15日起施行。


《办法》第7条提出:生成式人工智能服务提供应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:

  • 使用具有合法来源的数据和基础模型

  • 涉及知识产权的,不得侵害他人依法享有的知识产权

  • 涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形


随着数字技术的发展,开源技术被广泛应用于各个行业,AI行业也需要使用大量的第三方组件,在一定程度上保证软件质量,并更低成本加快项目进度,推动企业AI业务快速占领市场,实现商业目的。


然而,开源技术是一把双刃剑,不当使用开源技术也会带来大量风险,其安全性直接关系到信息系统基础设施的安全。那么企业在发展AI技术的过程中,该如何响应政策监管需求,保障开源组件的安全性呢?


01

建立SBOM软件资产清单

企业应建立清晰的SBOM清单,详细了解软件的组件成分信息,便于进行资产盘点,在开发阶段检测AI程序被“投喂”的组件,降低其中潜藏的合规风险并加以限制,减轻企业履行合规义务的负担。同时也能帮助AI企业向客户、监管机构和其他利益相关者展示程序的质量和可靠性。


02

把控知识产权风险

第三方开源组件往往来源复杂,包含较多的许可协议,如GPL、MIT、Apache等,甚至还会遇到多个开源许可协议不兼容的问题。企业需严格把控AI程序开发过程中的第三方组件,防止因版权或商业因素导致的闭源,积累更多高质量的开源数据集、代码集,降低因知识产权问题带来的损失


03

管控安全,建立安全卡口

AI程序与普通应用一样,越早发现安全问题,修复成本越低。企业需在AI应用的整个研发过程的关键节点增加安全卡口(如代码仓库、持续集成平台、制品库等),进行合规校验,如果不符合规则,则进行预警,全方位降低企业AI业务的安全管控成本。


开源组件安全及合规管理平台(SCA


开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析(SCA)产品,可帮助企业在研发AI应用的过程中进行第三方组件的安全分析与管控,包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计等,可实现对源码与制品的精准分析,让企业AI业务能平稳地站在“开源”的肩膀上前行