AI Pulse

所有人都在实时摸索AI安全——连谷歌也不例外

📅 2026 年 5 月 25 日 📖 约 5 分钟 TechCrunch AI安全工程
所有人都在实时摸索AI安全——连谷歌也不例外

我最近有机会在洛杉矶的一场活动后台与Google Cloud首席运营官Francis de Souza坐下来交谈。在我们周围的嘈杂声中,de Souza用大学老师那种平静、沉稳的语气,为正在经历这个AI安全时刻的我们提供了有用的建议。他指出:“会有一个过渡期,然后我想我们会到达一个更好的境地。”

那时他说的不是谷歌自身的情况,但很显然,就连谷歌也还在摸索中。

De Souza的核心信息是安全专业人士多年来一直试图让高管们内化的道理——如今因AI而变得紧迫:安全不能是事后诸葛亮。“当公司踏上AI旅程时,他们需要采取平台方法,”他说。“安全不是你事后可以硬塞进去的东西,也不是你可以让员工自己搞定的事。”他特别警告了“影子AI”——员工在缺乏组织监督的情况下使用消费级工具——并认为企业需要从一开始就要求平台提供安全、治理和可审计性。“没有数据战略和安全战略的AI战略是不存在的。它们必须齐头并进。”

值得一提的是:他并非在单方面推广Google Cloud。当我指出他的建议听起来像是谷歌的广告时,他否认了。他说谷歌致力于多云方法,并指出那些认为自己只运行在单一云上的公司几乎肯定不是这样。“即使他们选择单一云,他们也在依赖SaaS应用,还有可能使用不同云的商业伙伴,”他说。“对于企业来说,跨云、跨模型保持一致的安全态势非常重要。”

他还论证了威胁环境已经发生了根本性变化,旧的防御模式太慢。他指出,从初始入侵到攻击下一阶段的交接时间,平均从8小时降到22秒,攻击面也远远超出了传统的网络边界。“除了你通常的资产之外,你现在还有模型。你有用于训练模型的数据管道。你有代理,你有提示。所有这些都需要得到保护。”

De Souza提到的一个未获足够关注的威胁是:代理在企业内部系统中移动,可能会暴露多年无人问津的遗忘数据存储库。“很多组织都有旧的SharePoint服务器和访问控制,它们很久没有更新了,但这本来没问题,因为没人真正知道它们在哪里。但在企业内游走的代理会找到这些数据资产,并暴露其中的数据。”

在他看来,解决方法是用机器速度对抗机器速度。“我们现在看到一种完全以AI驱动的、全自主防御体系的出现,组织可以运行驱动其防御的代理,”他说。“不再是由人主导防御,甚至人插入循环,你现在可以由人类监督一个完全自主的防御。”他补充说,这已成为领导层问题,而不仅仅是技术问题。“这是董事会和高管团队的问题,不仅仅是安全团队的问题。”

但即便AI承担了更多防御工作,能够监督AI的合格人才仍然短缺——而AI本身引入的漏洞正以安全团队无法及时处理的速度增多。“我们将需要人来应对‘漏洞大爆发’,”LinkedIn首席信息安全官Lea Kissner本周对《纽约时报》表示,并补充说她不期待行业在未来几年内以任何可持续的长期方式理解AI安全。

这又将我们带回到平台提供商本身。《The Register》在过去几周发表了一系列报道,记录了一波Google Cloud开发者在未经授权的Gemini模型API调用后收到五位数账单的事件——其中许多服务他们从未使用过或主动启用过。这些案例遵循一个相似的模式:原本用于Google Maps的API密钥,按照谷歌的说明公开部署后,在谷歌扩展其使用范围且未明确披露变更的情况下,悄悄具备了访问Gemini的能力。

面试准备平台Prentus的首席执行官Rod Danan表示,攻击者利用了他泄露的API密钥后,他在大约30分钟内收到了10138美元的账单。悉尼开发者Isuru Fonseka的账户也遭到类似入侵,醒来后发现被收取了大约17,000澳币,尽管他以为自己设置了250美元的费用上限。两人都不知道的是,谷歌的自动化系统已根据账户历史记录升级了他们的账单等级,将其实效上限提高到了10万美元,而没有得到明确同意。

在《The Register》发布初始报道后,谷歌为两人退还了费用。不过,谷歌告诉《The Register》,它不打算改变自动升级等级的政策,称其优先考虑防止服务中断,而不是执行用户声明的预算偏好。

与此同时,还有另一个问题:当开发者试图关闭某项服务时会发生什么。《The Register》本周报道了安全公司Aikido的研究,发现即使开发者发现密钥泄露并立即删除,可能仍然不安全。根据Aikido的发现,攻击者似乎可以在该密钥删除后继续使用长达23分钟,因为谷歌的撤销操作在其基础设施中逐步传播。Aikido研究员Joseph Leon告诉《The Register》,在这段时间窗口内,成功率不可预测——在某些分钟内,超过90%的请求仍然通过认证——攻击者可以利用这段时间窃取Gemini的文件和缓存对话数据。

Leon还指出,谷歌自己的较新凭据格式似乎没有同样的问题:服务账户API凭据大约5秒内撤销,Gemini更新的AQ前缀密钥格式大约需要1分钟。“两者都在谷歌规模下运行,”他在Aikido的相关论文中写道。“两者都表明这对谷歌API密钥来说在技术上也是可以解决的。”简而言之,据Leon说,23分钟的窗口期不是工程限制,而是公司优先级的问题。

在阅读de Souza的建议时,这一点值得考虑。他的建议是合理的,应当认真对待。他没有说错,但目前平台所倡导的理念与其自身调整速度之间存在差距,了解这一点也有好处。

阅读原文
📚 相关主题 安全工程

📬 订阅 AI Pulse

每天三次更新,不错过重要信号

▲ 回到顶部