機密コンピューティングなどの新興の暗号化およびハードウェアセキュリティ技術は、CPUホストを超えてAIアクセラレータにまで信頼できるコンピューティングプリミティブを拡張することで、モデルの重みと推論データを保護する可能性を提供します。このアプローチには以下のような主要な特性を実現する可能性があります:

1. 暗号化による証明: GPUの真正性と完全性を暗号的に証明することで、モデルの重みが認可されたハードウェアでのみ実行されることを保証します。

2. 暗号化されたモデルの重み: モデルの重みは、GPUにステージングおよび読み込まれるまで暗号化されたままであり、不正アクセスを防ぎます。

3. GPU固有の暗号化: GPUの固有の暗号化アイデンティティを利用して、モデルの重みと推論データを特定のGPUまたはGPUグループに対して暗号化することで、認可されたパーティのみが復号できるようにします。

エアギャップはしばしば重要なセキュリティメカニズムとして引用されますが、これは根拠のないものではありません。ネットワークセグメンテーションは、重要なインフラストラクチャの制御システムなどの機密ワークロードを保護するために使用される強力な制御手段です。代わりに、AIシステムがオフラインで、インターネットを含む信頼できないネットワークから分離された状態で動作できるような柔軟なネットワーク分離を優先します。

我々が説明するネットワークは、ある tenantsからモデルの重みが別の tenantsに侵害される可能性のある脆弱性のクラスを排除する必要があります。これにより、内部者の脅威や他の侵害に対しても、データとワークロードの機密性、完全性、可用性が維持されます。

ロバストなネットワークと tenant分離を備えたAIインフラストラクチャを設計することで、攻撃対象面を減らし、これらの高度なAI機能の中核をなすモデルの重みを保護しつつ、レジリエントでオフラインの方法でAIシステムを運用することができます。

AIデータセンターの運用とフィジカルセキュリティ対策は、内部者の脅威によるデータセンターとそのワークロードの機密性、完全性、可用性の侵害に対するレジリエンスを確保するために必要です。これには以下が含まれます:

• データセンター施設と重要なインフラへの物理アクセスを制限し監査するための堅牢なアクセス制御と監視
• データセンター内のすべての活動の可視性を提供するための包括的な映像監視とログ記録
• 中断に対する可用性を維持するための冗長電源とクーリングシステム
• データ漏洩を防ぐための廃棄ハードウェアの安全な処理と消去手順
• インフラへの不正な変更を検知および抑止するための耐タンパー性のあるシールなどの物理的セキュリティ対策
• データセンターのスタッフを審査し監視するための厳格な人事セキュリティ慣行(バックグラウンドチェックやセキュリティ意識研修など)
• セキュリティインシデントや停電からの迅速な特定、封じ込め、復旧を可能にする事故対応と災害復旧計画

これらの運用とフィジカルセキュリティ対策が連携して、データセンター環境全体の機密性と完全性を保護する多層防御を構築します。これには、そこに収容されるAIモデルと学習データも含まれます。

AI開発者がインフラストラクチャプロバイダと連携する際に、知的財産が保護されることを確認する必要があるため、AIインフラストラクチャは該当するセキュリティ基準に準拠し監査される必要があります。SOC 2、ISO/IEC、NIST ファミリーなどの既存の基準はまだ適用されます。ただし、AIシステムのセキュリティに特化した基準も増えると予想されます。

これらのAI固有の監査とコンプライアンスプログラムは、AIに関連するデータとモデルの機密性、完全性、可用性を維持することを支援します。これらの基準に準拠することで、インフラストラクチャプロバイダは、AI開発者顧客の重要な資産を保護するコミットメントを示すことができます。これにより、信頼が醸成され、AI開発者は自らの重要な資産が保護されていることを知って、イノベーションに集中できるようになります。

これらのAI固有の基準の策定には、業界、academia、規制当局の協力が必要です。この共同の取り組みにより、AIエコシステムのセキュリティを確保する堅牢な枠組みが確立されます。

Open AIは、AIがサイバー防御に変革をもたらす可能性があると考えています。攻撃者と防御者の間の戦いを均等化できるかもしれません。世界中の防御者は、脅威を検知し対応するために必要な膨大なセキュリティシグナルを取り込み分析することに苦労しています。さらに、高度なセキュリティプログラムを構築するために必要な相当な資源により、多くの組織にとって意味のあるサイバー防御が手の届かないものになっています。

AIは、サイバー防御者を支援し、セキュリティを向上させる機会を提供します。AIをセキュリティワークフローに組み込むことで、セキュリティエンジニアの作業を加速し、労力を軽減できます。Open AIでは、人間のアナリストチームでは手に負えない高容量で機密性の高いセキュリティテレメトリを分析するためにモデルを使用しています。AIを活用することで、防御者は脅威の検知、調査、対応をより効果的に行い、高度な攻撃者との差を縮めることができます。

Open AIは、AI駆動のサイバー防御の最先端を推し進めることに尽力しています。彼らは、提案したセキュリティ対策を回避する方法を探索することを含む、継続的なセキュリティ研究が、急速に進化する脅威環境に対応するために不可欠であると考えています。最終的に、これらのAI駆動のセキュリティ対策は、完璧なシステムや完璧なセキュリティはないため、多層防御を提供する必要があります。

Open AIは、提案しているセキュリティ対策はほんの始まりにすぎず、AIセキュリティの急速な進化に対応するために継続的なセキュリティ研究が必要であることを認識しています。完璧なシステムや完璧なセキュリティはないことを認めています。

これに対処するために、Open AIは以下の必要性を強調しています:

1. レジリエンス: セキュリティ対策は、時間とともに発見される脆弱性に対して多層防御を提供する必要があります。

2. 冗長性: 単一のセキュリティ対策に依存するのは十分ではありません。全体的なシステムのレジリエンスを確保するには、複数の保護層が必要です。

3. 継続的なセキュリティ研究: 提案されたセキュリティ対策を回避する方法を理解し、出現する隙間を特定して閉じるために、継続的な研究が必要です。これには、潜在的な脅威に先んじるために、攻撃的および防御的な両面の研究が含まれます。

Open AIは、AIセキュリティの分野がまだ初期段階にあり、先進的なAIシステムを保護するには、積極的で適応的なアプローチが必要であることを認識しています。レジリエンス、冗長性、継続的なセキュリティ研究を受け入れることで、進化する脅威環境に先んじ、AIインフラストラクチャの安全性とセキュリティを確保することを目指しています。