1. ChatGPT带来信息化革命性创新,目前尚不能处理专业知识但成长很快
2023年虽然才开始不久,但毫无疑问ChatGPT是今年最重大的科技话题之一。Chat GPT是生成式人工智能的开山之作,出道即巅峰,是继PC互联网、移动互联网之后又一次革命性创新,其创新性在于突破之前决策式AI基于规则的算法模型框架,跳出之前“数据搬运工”的传统模式,即在海量数据中寻找符合规则策略的数据,经过比对计算,基于当前的环境、条件和状态,准确的找到符合条件的数据,一步一步的走向算法和程序的终点,得出一个确定的决策。
生成式AI为决策式AI赋予了灵魂和思想,决策式AI需要在海量数据中挑选并使用符合规则的数据,自身并不创造新的数据,生成式AI的革命性创新的根本在于将逻辑和伦理以算法的形式植入,并产生新的数据,相当于为算法植入了思想和灵魂,尽管其智能水平与高水平人类仍有较大差距,但生成式AI在可无限扩展的算力和数据加持下,其成长性和发展前景将无比光明。
从2022年底至今,Chat GPT已经从3.0快速迭代到3.5,从3.5迭代到4.0,配合市场营销的宣传,ChatGPT已经成功打造了几个标签:
l 高富帅:超级算力+海量数据+机器学习+资本追捧
l 自学成才:自我学习,自我提升,快速进阶
l 会推理:读懂复杂问题,具备逻辑能力
笔者尝试问了ChatGPT几个问题,得到如下答案:
这些标签可以通过以上例子得到充分验证,ChatGPT可以读懂小说,并准确梳理出人物关系,同时ChatGPT可以识别误导性问题,并给出自己的正确解读,阅读理解能力已经可以秒杀普通人类,如果将ChatGPT放在相对冷门小众知识体系中,其能力可以完爆大多数人类,乍一看确实有些细思极恐的感觉,不过看完下面的例子,或许紧张的心情可以适当放松了。
同样以张三丰为问题索引,显然在回答第二个问题的时候,ChatGPT就是在一本正经的胡说八道了,类似的问题还有很多,说明ChatGPT目前的能力可以模拟日常情景对话,但对专业知识的阅读和理解能力有限。
从当前ChatGPT的人工智能能力来看,目前只处于初级水平但具备较快的成长性。ChatGPT受宏观大环境影响不得不仓促发布首个版本,而随后其自学习的能力和人工智能水平的提升确实是以肉眼可见的速度高速成长,随着投喂的数据不断增加,算力的持续投入,训练算法的不断优化,场景的持续交互细分,以Chat GPT为代表的生成式AI将引领和带动21世纪的新科技发展,已经成为各国科研机构和企业的共识,并成为各大企业争相布局角力的重要战场。影响生成式AI成效的核心要素如数据、算法、算力、场景成为各大科技龙头企业科研攻关重点,与之相关产业如芯片、云计算、大数据、安全也将迎来一波大发展机会。
2. Chat GPT为网安行业带来新的创新方向,也将引领新一轮投融资热潮
由于ChatGPT需要运行在云计算、互联网和IT环境下,而这些运行环境都是网络安全问题频发的重灾区,ChatGPT推出短短五天时间,注册用户数就超过了100万,目前这一数据已经突破了1亿,随着用户数量的激增,ChatGPT带来的网络安全问题也将被无限放大,微软近期推出Microsoft Security Copilot将下一代AI技术,使用其技术内置到网络安全系统中,微软将网络安全防护产品作为首个与ChatGPT能力结合的产品发布,就可以看到网络安全在人工智能领域的重要性,或者网络安全本身就是ChatGPT的一个场景应用。
具体来说,ChatGPT对网络安全行业有主要有以下三点:
攻击方发起网络攻击的门槛降低
尽管ChatGPT有内容审计,不提供完整的直接可用的网络攻击工具,但只要攻击者有一定专业技能,通过合理的提问编排,如与搜索引擎配合,网络攻击者可借助ChatGPT快速提升攻击能力和烈度,另外从攻击者的视角,任何一个点被攻破,都可以成为跳板,取得成效;笔者问了ChatGPT网络攻防方面的一些常规问题,回答的有模有样。
防守方合理使用ChatGPT可大幅减少安全运营工作量
运营方对自身IT资产及业务足够熟悉时,可以使用ChatGPT识别漏洞、编写安全运营自动化脚本、制定安全策略等,可在很大程度提升安全运营效率。ChatGPT作为网络安全攻防双方都可使用的工具,用在防守端可得到直接有效答案更方便,在内容审核方面ChatGPT对防守属性的内容更友好易用。ChatGPT作为安全攻防工具本身具有两面性,并将在某一时间点达到攻守的整体平衡,决定攻防态势的最终是人,由人来规划、建设和运营网络安全能力,对工具的使用熟练程度能在很大程度上起到提高效率的作用。
针对AI网络安全应用的投融资将呈现井喷效应
根据Forrester的报告,到2025年,人工智能(AI)软件市场规模将从2021年的330亿美元增长到640亿美元。网络安全将是人工智能支出增长最快的细分市场,相关支出的复合年增长率(CAGR)高达22.3%,Forrester发布该报告时ChatGPT尚未出现,经过验证后的Chat GPT将极大推动后续以人工智能和机器学习为支撑技术的网络安全市场进一步繁荣,在大规模资产探测、漏洞管理、异常行为检测等细分方向推出更强能力网络安全产品,配合零信任的安全框架,实现可落地的弹性、动态、智能的网络安全防护体系。
3. ChatGPT对数据安全的影响深远,将推动需求升级和产业加速发展
数据是Chat GPT运行的基本材料,所有的算法、算力都是以数据为中心的训练和学习,数据安全就显得尤为重要,由于OpenAI对外只提供交互窗口,外部看来Chat GPT只是一个黑盒子,ChatGPT自身的数据安全无从考证,也无法监管,Chat GPT商业模式尚未确定,对不同国家的窗口开放策略等诸多影响该技术市场化、产品化的重要因素尚未确定,本文的重点放在生成式AI技术对数据安全的影响。
Chat GPT的广泛应用将推动数据安全需求升级
传统网络安全的需求主要来自合规、攻防和业务支撑三方面,也同样适用数据安全,随着Chat GPT的应用,引发了数据安全的需求升级。
从合规的角度看,过去针对数据安全的合规基本是围绕“三法一条例”开展,从实际开展的情况看,尚未规模形成标准、法规、监管的完整闭环,不管是滴滴赴美上市还是携程用户信息外泄,在ChatGPT出现之前的数据安全事件基本还属于散发现象,在标准、法规和监管的现状下,关注重点行业、重大社会事件尚可接受。加上大部分有影响力的企业、机构自身就有专项预算处理数据安全问题,至少在已有法律法规范围内,在数据安全方面是有持续投入,并能保障其运行在一定水位线之上的。ChatGPT基于问题交互式学习进化的方式出现,相当于将传统网络安全和数据安全建立的内外网的网格彻底刺破,相当于ChatGPT在以回答问题的形式收集和分析数据,企业和个人以正常业务的形式持续流出重要数据。针对以ChatGPT为代表是生成式人工智能工具,在合规定义方面至少要加强隐私保护(个人隐私、企业隐私、国家隐私)、合规审计(规划、建设、运营)、伦理监管(内容监管、舆情监管、公信监管)几方面的研究和设计,而且这些合规细则的推出已经到了的急迫程度。
从攻防的角度看,是通过防御和反制攻击来保护数据的安全性,其价值在于保护组织的敏感信息和知识产权,减少业务中断和损失,并维护组织的声誉。ChatGPT出现后,可以作为工具同时服务攻防两端,能够熟练使用ChatGPT的一方将对不掌握该技能的一方形成绝对优势,已知的使用Chat GPT进行数据安全类的攻击手段就有社会工程渗透、脱库撞库攻击、规模制造虚假信息(水军)、恶意收集凭证/密码等身份信息等,虽然这些手段在Chat GPT出现之前就已经存在,但是在使用Chat GPT后,攻击效率可大大提高。这些需求升级将导致数据安全的规划和建设在元数据的处置时就入局,如进行数据资产的盘点、数据的分级分类、数据脱敏、数据传输/存储加密等细分技术和方案的快速落地。
数据安全在业务支持方面主要是指为业务需求提供安全保障,以确保数据的保密性、完整性和可用性,价值在于支持业务的联结和增长,提高组织的效率和竞争力。主要应用于金融、电力、电子商务、医疗保健等对数据安全敏感的行业和场景。在Chat GPT的能力加持下数据安全在业务端的能力将更多的体现在在业务逻辑中对钓鱼检测、撞库检测、凭证伪造检测、弱密码检测、可疑身份检测等日常高发、高危类安全行为方面;
综上,合规、攻防和业务支持是数据安全的三个刚性需求,它们的价值和场景均以保护数据为核心,企业和组织需要在这三个方面进行整合,形成一个全面的数据安全策略。ChatGPT的可怕之处在于系统和平台会以“吸星大法”式的模式采集、分析和验证数据,在专业能力达到一定程度的问题处置上,先以“莫须有”的形式和逻辑给出自己一套答案,在一步一步的交互过程中验证AI的理解,而且整个过程中相关人员几乎不会有产生数据安全威胁的意识,这与传统的钓鱼网站、钓鱼邮件类的数据安全问题,对企业的数据安全破坏程度更高。因此,一方面需要数据安全合规、攻防和业务支撑方面做到位,另一方面还需结合专项的数据安全意识类培训,自上向下进行安全意识的培训,从数据安全管理的角度,多管齐下,提升效果。
Chat GPT的广泛应用将驱动数据安全产业加速发展
数据安全市场的驱动力主要来自政策、事件和产业三个维度,Chat GPT的发布放大了数据安全在这三个维度的威胁和挑战,势必将推动数据安全的加速发展。
Chat GPT的广泛使用将推动数据安全政策的制定和执行。政策方面的驱动力主要围绕合规展开,即遵守适用的规定和准则,确保数据的安全、隐私和保密性。合规的价值在于保护组织免受法律和监管机构的处罚,并增加客户和员工的信任。国际标准和法规主要是GDPR、HIPAA、PCI DSS等,国内与数据安全相关的标准和法规主要是《网络安全法》、《数据安全法》、《个人信息保护法》和《关键信息基础设施安全保护条例》(简称“三法一条例”)。2023年3月10日,国家数据局成立,从顶层设计层面推动数据要素市场的完善和提速,并将在短期内可能推动法律法规、制度建设,未来可能会衍生出执法等职能。国家数据局的成立与Chat GPT的发布刚好在同一时间段,也必然会产生一定的相互作用,在接下来的数据安全合规体系建设中,针对Chat GPT和类似AI应用对数据安全的影响将会成为重点研究和加强监管的领域。
Chat GPT的广泛使用将推动企业数据安全防护策略与技术变革。今年3月11日韩国三星电子允许部分半导体业务部门员工使用ChatGPT,随后在20天内爆出了三起机密资料外泄事件。三起机密资料外泄案件中,其中两起与半导体设备有关,另一起于内部会议有关。尽管三星回应,已加强相关安全措施,但此类事件只是众多数据安全事件中的冰山一角,而且自OpenAI公司去年11月底公布以来,聊天机器人ChatGPT的热度只增不减。越来越多的企业员工通过使用Chat GPT协助日常办公释放更多的劳动力,但数据安全风险也随着与ChatGPT的持续性交互被不断放大,已经触动政府和企业,尤其是高科技企业禁止员工使用Chat GPT,必将推动企业和组织的IT部门采用技术、管理手段应对由Chat GPT引起的数据安全问题。
Chat GPT的广泛使用将推动数据要素市场变革。随着数字中国的战略推进,数据成为生产要素。以数据为中心的产业形成了数字化需求方和数字化供应方的产业链条,驱动数据安全为数字化产业保驾护航,将快速形成数据安全的场景化和市场化闭环,我们认为政务数据和产业数据已经具备了一定先发条件,与之配套的数据安全需求和建设将会加速推进。Chat GPT的广泛应用将影响数据资产的价值,进而推动数据要素市场变革。为保障数字产业健康放在,必须加强数据要素行业针对Chat GPT等智能应用的安全防护与监管。
4. 总结
人工智能的产业应用一直以来不够广泛,而Chat GPT的出现改变了产业生态,大量泛重复类工作将会被取代;虽然有不少组织和个人反对生成式AI的推广和应用,但科技进步的脚步从未停止,该趋势不可逆转。Chat GPT有突出的优点,亦有明显的缺点,人们现在对Chat GPT的包容很大程度在于其目前尚未商业运营,商业运营后,无论是技术和监管必然会与之配套。知识数据可以明码标价,数据成为重要资产交易流通,不论是国家、企业还是个人,都会更重视数据安全。
在Chat GPT的推动下,数据安全产业将向深度和广度两个方向快速生长,并由国家出台政策,在行业、场景中规范和引导,有序发展。深度方面,与数据安全刚需相关的数据保密性、可用性、完整性的相关技术如安全多方计算、同态加密、差分隐私等隐私计算技术将受益,得到更为快速的推广和应用。广度方面,各类与数据安全有关的不同技能的跨界和集成需求将更为迫切,如数据治理和数据安全的集成、EKM和KMaas的集成、数据监控和保护技术的集成、数据安全与业务安全的集成。政策方面,伴随近年国家对抗的升级,与之配套的保护国家安全的政策法规也在持续推出,Chat GPT将进一步加速这个过程,推动与数据安全有关的法律法规、标准和监管体系的完善,最终形成新的数据安全防护的闭环。
本文作者:
奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,深入调研网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。
陈华平:奇安信集团副总裁,产业发展研究中心负责人。
万鹏:产业发展研究中心研究员,主要负责产业生态研究。