AI安全未來發展與監管的平衡

隨著生成模型，尤其是大模型（LLM）的出現，以及ChatGPT的迅速躥紅，人們再次呼吁加強安全監管。 

安全不是靠監管出來的

不出所料，面對未經詳細研究的新技術，人們的第一反應就是恐懼，而恐懼可能會造成過度監管。盡管安全監管有其可取之處，但我們必須謹記，監管并不總能帶來安全改善。安全相關法規好心辦壞事的例子并不少見。

支付卡行業數據安全標準（PCI-DSS）適用于想要刷客戶卡的任何人，或者，說得更專業一點，適用于存儲、處理和/或傳輸持卡人數據的任何人。該標準1.1版于2006年制定，要求密碼長度至少為七個字符。就當時而言，不少于七個字符的密碼已經夠強了，但今天的普通硬件都能在幾天乃至不到一秒的時間內破解此類密碼。

2022年3月，該標準更新為密碼長度至少12個字符（如果系統不支持12個字符，那至少八個字符）。即便如此，在2025年3月31日具有法規約束力之前，該要求只是個推薦采用的最佳實踐而已。而且，雖然12個字符的長度已經優于七個字符，但未來幾年里也會變得很容易破解。 

安全法規越具體，就越容易過時。

安全不是靠監管出來的

通用監管的缺點

具體的另一面，也就是法規過于籠統，也會對安全造成不利影響。歐盟《通用數據保護條例》（GDPR）就是現成的例子。GDPR旨在保護個人信息。該條例中規定，個人數據指的是與身份已識別或可識別的自然人相關的任何信息。但個人數據的這個定義非常寬泛，包羅萬象。歐盟法院已經裁定，IP地址屬于用戶的個人數據。那就難怪安全部門老是跟法律部門糾纏自己到底可以收集哪些日志來保護組織安全的問題了。

正如藍隊專業人士所言，日志在提供所保護環境的可見性方面非常重要。如果缺乏日志，我們基本上就無法探知網絡上的各種活動了，無論是良性的還是惡意的。盡管如此，如果日志中會包含員工、客戶和供應商的個人信息，那是否值得冒著被罰全球營業額4%的高昂代價換取更加安全一點呢？很遺憾，由于法規的寬泛性，組織主要根據法律部門的保守性來調整決策。

法規問題意見紛呈

最后，任何法規都是不同利益相關者、立法者、政治游說團體、行業和利益集團之間無休止的爭論和協商的結果。因此，最終的法規草案始終反映的是立法過程中做出的種種妥協。而在安全領域，任何此類妥協都會造成次優安全和監管漏洞，可能被攻擊者利用。 

所以，必須謹記，安全與合規是兩碼事。合規的組織仍會遭到入侵并不是什么巧合，因為合規不保證安全。這種局面令人相當困擾，因為動搖了安全法規存在的根本理由。如果安全法規不是為了確保我們真的安全，那還費那事兒制定法規干什么呢？

幾年前，幾位研究人員發表論文分析了強制要求為兒童提供汽車安全座椅的法規是否有效。論文中稱，1977年以來，美國各州一直在逐步提高兒童使用兒童安全座椅的年齡。因為很多標準尺寸車輛的后排無法容納三個兒童座椅，這些限制法規大大增加了生第三個孩子的成本。研究人員進一步估算，由于這些政策的實施，2017年全美各地死于車禍的兒童減少了57人。但與此同時，這些法規造成了出生率的長期下降，自1980年以來已導致出生人口減少14.5萬，其中90%發生在2000年以后。兩相對比，很容易看出良好的監管意圖會產生怎樣的負面影響。 

在對組織施加更多安全法規之前，我們必須問問自己：我們到底是在改善安全，還是單純加強更多監管？