谷歌云COO的”安全宣言”
洛杉矶的一场活动后台,谷歌云首席运营官弗朗西斯·德·索萨(Francis de Souza)抽了几分钟出来聊企业AI安全的现状。他的语气像大学教授一样冷静审慎:”会有一个过渡期,然后我认为我们会进入一个更好的阶段。”
话说得漂亮。但《注册表》(The Register)在过去几周里记录的大量案例,让这番话听起来有点微妙——那些案例里,开发者因为对 Gemini 模型的未授权 API 调用,收到了五位数甚至六位数的账单。
“影子AI”:企业安全的隐形漏洞
德·索萨的核心观点其实是安全专业人士多年来一直在试图让高管们内化的:安全不能是事后想法。他特别警告了”影子AI”的风险——员工在没有组织监督的情况下使用消费级工具。
他说:”当公司开启AI之旅时,他们需要采取平台化方法。安全不是你之后可以加装的东西,也不是你可以留给员工自己处理的事情。”
这话没错。但有趣的地方在于,谷歌自己似乎也还在经历这个”过渡期”——就像德·索萨自己说的那样。
“没有数据战略和安全战略的AI战略是不存在的,它们必须齐头并进。”——弗朗西斯·德·索萨,谷歌云首席运营官
23分钟的”黑洞”:Gemini API密钥撤销延迟
问题出在哪儿?《注册表》报道了一个让人坐不住的细节:开发者即使捕获到泄露的 Gemini API 密钥并立即删除它,攻击者仍然可以继续使用该密钥长达23分钟。
原因是谷歌的撤销操作在其基础设施中是逐步传播的,不是即时生效。安全公司 Aikido 的研究员约瑟夫·莱昂(Joseph Leon)发现,在这23分钟的窗口期内,超过90%的请求仍然可以认证——攻击者完全可以利用这段时间从 Gemini 中提取文件和缓存的对话数据。
莱昂还指出,谷歌自己较新的凭证格式似乎没有同样的问题:服务账户 API 凭证的撤销时间约为5秒,Gemini 较新的 AQ 前缀密钥格式的撤销时间约为1分钟。这说明23分钟的窗口不是工程限制,而是优先级问题。
五位数账单:开发者的噩梦
面试准备平台 Prentus 的 CEO 罗德·达南(Rod Danan)遇到了这种事。他的密钥被攻击者利用后,大约30分钟内账单就达到了10138美元。
悉尼的开发者伊苏鲁·丰塞卡(Isuru Fonseka)也遭遇了类似入侵,醒来时发现自己被收取了大约17000澳元的费用——尽管他相信自己设置了250澳元的消费上限。
两个人都不知道的是,谷歌的自动化系统根据账户历史记录升级了他们的计费层级,将有效上限提高到高达10万美元,而且不需要明确同意。
在《注册表》发布初步报告后,谷歌退还了这两人的费用。但谷歌表示不打算改变自动升级层级的政策,理由是优先考虑防止服务中断,而不是执行用户声明的预算偏好。
威胁格局已经变了
德·索萨说得对:从初始入侵到攻击进入下一阶段的平均时间已经从8小时缩短到22秒,攻击面也远远超出了传统的网络边界。除了通常的资产,企业现在还有模型、用于训练模型的数据管道、智能体,还有提示词——所有这些都需要被保护。
但他也指出了一个没有得到足够关注的风险:在企业内部系统游走的智能体,可能会暴露出多年来无人问津的遗忘数据存储库。”很多组织有旧的 SharePoint 服务器和访问控制,他们很久没有真正更新过,但这没关系,因为没人知道它们在哪里。但会在你的企业里漫游的智能体会找到这些数据资产,并暴露上面的数据。”
应对方法是以机器速度对抗机器速度——用 AI 原生的、完全智能体化的防御来保护自己。但这又回到了那个问题:当平台自己还在”过渡期”的时候,客户的过渡期要到什么时候才能结束?
发表回复