SaaS 和 Gen AI 应用程序的普及,正在变革企业的运营模式,提升团队间的协作效率与整体生产力。然而,生产力提升的同时也伴随着风险加剧——员工往往会使用未经批准的 SaaS 和生成式人工智能应用,为了快速提高工作效率,他们常常将敏感数据随意存入这些应用。
“影子 IT”和“影子 AI”的普遍存在,为安全、IT、GRC 和法律团队带来了诸多问题。例如:
生成式 AI 应用可能会在模型训练过程中使用用户输入数据,这可能导致企业专有信息泄露给第三方、竞争对手,甚至通过提示词注入等精巧攻击方式造成数据外泄。
应用程序可能会长期留存用户数据,与第三方共享数据,存在宽松的安全防护措施,遭遇数据泄露事件,甚至面临破产风险,从而导致敏感数据被出价最高者获取。
生成式 AI 应用可能产生存在偏差、不安全或不正确的输出内容,进而引发合规违规问题,或导致不当商业决策。
尽管存在这些问题,全面禁止生成式 AI 并非良策。这种做法不仅会抑制创新,还会迫使员工转向地下使用。相反,企业需要采取更智能的管控措施。
因此,安全、IT、法务和 GRC 团队面临着一个棘手的难题:如何在不逐一审计并为员工可能使用的每一个第三方应用程序单独制定政策的情况下,恰当地评估这些应用程序呢?更何况这些应用程序的数量正以惊人的速度激增——您又怎么可能指望能及时掌握所有应用程序的情况呢?
今天,我们很高兴地宣布,我们将推出全新的 Cloudflare 应用程序置信度评分,帮助这些团队大规模自动化评估 SaaS 和 Gen AI 应用程序。评分功能即将作为 Cloudflare One SASE 平台全新 AI 安全态势管理 (AI-SPM) 功能套件的一部分推出,使 IT 和安全管理员能够识别与第三方 SaaS 和 AI 应用程序相关的置信度级别,并最终根据这些置信度评分制定策略。我们首先从 AI 应用程序评分入手,因为这是最迫切的需求。
在本篇博客中,我们将深入解析 Cloudflare 应用置信度评分体系的设计框架,重点阐述该评分的功能与评估标准。我们当前的主要目标是全面揭示评分标准的具体细节——该标准在设计上力求最大程度地保持透明性与客观性,旨在助力各类规模的组织安全采用 AI 技术,同时推动整个行业及 AI 提供商践行 AI 安全与防护的最佳实践。
未来,作为我们助力构建更好互联网使命的一部分,我们还计划为所有客户层级免费提供 Cloudflare 应用置信度评分。即便您不是 Cloudflare 的客户,也能轻松通过以下方式查看这些评分:在 Cloudflare 仪表板上创建免费帐户,然后进入我们全新的应用库。
Cloudflare 应用置信度评分是一项透明、易懂且可问责的评估指标,用于衡量应用程序的安全性、可靠性以及数据保护水平。该评分体系专为安全、IT、法务及 GRC 团队打造,助其快速评估迅速发展的 AI 应用领域。
评分并非基于主观感受、黑箱式的"学习算法"或"人工智能引擎"。我们避免采用主观判断或大规模红队测试方法——因为这些方法难以长期稳定可靠地执行。相反,评分将严格依据一套客观评估标准进行计算,本博客将详细说明该标准的具体内容。我们的评估标准将由 Cloudflare 开发人员文档团队持续公开维护并保持实时更新。
我们评估的许多应用程序提供商同时也是我们的客户和合作伙伴,因此我们的首要目标是尽可能做到公平公正、担责尽职。我们相信,保持透明将有助于建立对我们评分体系的信任,并引导整个行业采纳我们评分体系所倡导的最佳实践。
我们的评估体系要求每个评估项都基于公开可得的数据给出简单明确的答案,这些数据包括隐私政策、安全文档、合规认证、模型卡以及安全事件报告等。若某些信息未公开披露,我们对该评估项直接给予零分,不做任何额外推断或猜测。分数由自动化系统根据评估标准计算生成,并引入人工审核机制确保准确性。我们利用爬虫程序收集公开信息(例如隐私政策、合规文件),运用 AI 进行信息提取和分数计算,随后将结果提交给人工分析师进行最终审核。
我们会定期对评分进行复核。若供应商认为我们对其应用的评分有误,可通过 app-confidence-scores@cloudflare.com 提交相关证明材料,我们经评估后会在合理范围内更新相应评分。
评分采用 1 至 5 分制,其中 5 分代表最高可信度,1 分意味着最高风险。我们选择使用“置信度评分”而非“风险评分”,是因为当应用程序能提供其具备良好安全、合规及安全实践的明确正向证据时,我们就能对其表达可信度。一个应用程序可能在内部建立了良好实践,但如果这些实践没有公开记录,我们就无法对其表达可信度。此外,置信度评分能让客户获得透明信息,从而做出知情决策。例如,某个应用程序可能因缺乏成文的数据留存政策而获得较低的置信度评分。虽然这可能会引起部分人的担忧,但您的组织或许认为该情况可以接受,仍决定允许使用该应用程序。
我们对同一应用提供商的不同帐户套餐进行独立评估,因为不同套餐可能带来差异显著的企业级风险。例如,面向个人用户的免费套餐(如 ChatGPT 免费版)可能存在基于用户提示词的模型训练行为,因此评分较低;而企业级套餐(如 ChatGPT 企业版)则不会使用用户提示词进行训练,所以评分更高。
尽管如此,我们对评估标准中所选择的组件非常谨慎,这源于我们内部产品、工程、法务、GRC 和安全团队的丰富经验。我们优先考虑数据保留策略和加密标准等因素,因为我们相信它们是在 AI 驱动的世界中保护敏感信息的基础。我们纳入了认证、安全框架和模型卡,因为它们能够证明产品的成熟度、稳定性、安全性以及是否符合行业最佳实践。
随着 AI 应用以前所未有的速度涌现,“影子 AI”问题正加剧传统“影子 IT”所带来的风险。影子 IT 应用会在以下情况产生风险:长期留存用户数据、安全防护措施松懈、财务状况不稳定,或是向第三方广泛共享数据。与此同时,AI 工具也会引发新的风险,比如长期留存并基于用户提示词进行训练,或者生成带有偏见、有害、不准确或不安全的内容。
为了区分这些不同的风险,我们提供了两种不同的评分机制:
我们选择聚焦于两个独立领域,这样既能增强指标的可扩展性(以便未来将其应用于非生成式 AI 应用场景),又能让评分更易于理解和分析。
每个评分均适用于指定生成式 AI 提供商的各个帐户层级。例如,以下是我们对 OpenAI 旗下 ChatGPT 的评分情况:
ChatGPT 免费版(应用置信度 3.3 分,生成式 AI 置信度 1 分)因企业管控功能有限且数据暴露风险较高而获得较低评分——其默认设置会将用户输入数据用于模型训练。
ChatGPT Plus 版(应用置信度 3.3 分,生成式AI置信度 3 分)评分略高,因其允许用户选择退出输入数据用于模型训练。
ChatGPT 团队版(应用置信度 4.3 分,GenAI 置信度 3 分)通过新增协作保护机制与可配置的数据留存周期设置,安全评分进一步提升。
ChatGPT 企业版(应用置信度 4.3 分,GenAI 置信度 4 分)以最高分胜出,该版本默认禁用基于用户输入数据的模型训练功能,同时完整保留了团队版的高级管控机制。
接下来,我们将详细解析各项评分背后的评估标准细则。
该评分模块主要评估该应用程序作为 SaaS 服务的整体成熟度,其评估依据来源于企业级最佳实践。
监管合规:核查表明企业运营成熟度的关键认证。我们选取这些认证是因为它们代表着经过实践验证的框架,能够体现企业对广泛采用的安全与数据保护最佳实践的承诺。
数据管理实践:重点关注数据的留存与共享方式,以最大限度降低数据暴露风险。我们之所以选择这些评估标准,是因为基于在 SaaS 环境中观察到的常见漏洞,以及 Cloudflare 法律与 GRC 团队在评估第三方 SaaS 应用时积累的经验,这些标准会直接影响数据泄露或滥用的风险。
安全控制:我们将这些措施列为优先项,因为它们构成了抵御未授权访问的基础防御屏障,借鉴了防止云服务事件的最佳实践。
MFA 支持:0.2 分。
基于角色的访问:0.2 分。
会话监控:0.2 分。
TLS 1.3:0.2 分。
SSO 支持:0.2 分。
安全报告与事件记录:奖励信息披露透明度,若近期出现安全问题则予以扣分。设置此项评估内容旨在强化责任意识,因为安全事件历史记录或主动披露行为,往往能反映供应商对安全问题的重视程度。
财务稳定性:评估应用程序背后公司的长期存续能力。我们之所以增设这一评估维度,是因为企业的财务状况直接影响其持续投入安全保障与技术支持的能力,同时有助于降低因突发经营中断、偷工减料、破产清算或用户数据被擅自出售给不明第三方等风险。
此评分着重关注 AI 特有的风险,例如训练中的数据使用和输入漏洞。
监管合规 ISO 42001:ISO 42001 是一项全新的 AI 管理体系认证标准。我们选用这一新兴标准,是因为它专门针对 AI 治理,填补了传统认证体系的空白,彰显了前瞻性的风险管理理念。
符合 ISO 42001 标准:1 分。
不符合 ISO 42001 标准:0 分。
部署安全模型:访问控制越强,得分越高。身份验证机制不仅能有效管控访问权限,还能支持监控与日志记录功能,从而更便捷地发现滥用行为并调查安全事件。开放式的无验证访问属于典型的影子 IT 风险警示信号。
模型卡:模型卡是一份简明文档,提供有关 AI 模型的关键信息,类似于食品的营养成分标签。它对 AI 安全和安保至关重要,因为它能清晰展示模型的设计思路、训练数据、局限性及潜在偏差,帮助开发者和使用者了解相关风险并负责任地使用模型。部分领先的 AI 供应商已承诺将模型卡作为安全评估的公开文档。我们将此纳入评分标准,以推动行业广泛采纳模型卡这一最佳实践。随着模型卡实践在行业中不断发展并趋于标准化,我们希望未来能将模型卡中的更精细信息纳入我们的风险评分体系。但目前,我们的评分仅考量模型卡的有无情况。
拥有自己的模型卡:1 分。
使用带有模型卡的模型:0.5 分。
无:0 分。
基于用户提示词的模型训练:这是我们评分体系中最重要的评估维度之一。使用用户提示词进行训练的模型具有极高风险,因为用户可能在提示词中无意间透露敏感的企业信息。我们对此赋予极高权重,这是因为对训练数据的控制权是防范意外数据泄露的核心所在,而这类数据泄露正是生成式 AI 领域可能导致重大安全事故的关键风险源。
以下是这些评分应用于部分主流 AI 服务商的示例。正如预期的那样,同一 AI 服务商的企业级服务通常比消费者级服务获得更高的置信度评分。
| 公司 |
应用程序评分 |
生成式 AI 评分 |
| Gemini Free |
3.8 |
4.0 |
| Gemini Pro |
3.8 |
5.0 |
| Gemini Ultra |
4.1 |
5.0 |
| Gemini Business |
4.7 |
5.0 |
| Gemini Enterprise |
4.7 |
5.0 |
|
|
|
| OpenAI Free |
3.3 |
1.0 |
| OpenAI Plus |
3.3 |
3.0 |
| OpenAI Pro |
3.3 |
3.0 |
| OpenAI Team |
4.3 |
3.0 |
| OpenAI Enterprise |
4.3 |
4.0 |
|
|
|
| Anthropic Free |
3.9 |
5.0 |
| Anthropic Pro |
3.9 |
5.0 |
| Anthropic Max |
3.9 |
5.0 |
| Anthropic Team |
4.9 |
5.0 |
| Anthropic Enterprise |
4.9 |
5.0 |
注意:置信度评分仅供参考,其提供形式为“原样呈现”,不可替代独立分析或决策判断。基于这些评分所采取的任何行动,其全部责任均由用户自行承担。
我们正在持续优化评分方法体系。为此,我们正与 AI 生态系统中多元化的专家群体(包括研究人员、法律专业人士、安全运营中心团队等)开展合作,对评分标准进行精细化调整,着力提升透明度、责任追溯性和系统扩展性。若您有任何专业见解、改进建议,或希望参与测试新功能,欢迎报名参与我们的用户研究计划。我们非常期待您能针对本评分体系提出宝贵意见。
今天,我们正式发布评分体系,旨在向社区征集反馈意见。不久之后,您将在我们的 SASE 平台应用库中看到这些 Cloudflare 应用置信度评分。用户只需点击或悬停在任意评分上,即可查看该评分标准的详细分解说明及底层评分构成要素。若您发现评分存在任何问题,请通过 app-confidence-scores@cloudflare.com 向我们提交反馈,我们的团队将进行评估并在适当情况下作出调整。
展望更远的未来,我们计划将这些评分直接集成到 Cloudflare Gateway 和 Cloudflare Access 中。这将使我们的客户能够制定策略,根据 Cloudflare 应用置信度评分直接拦截或重定向流量、实施数据丢失防护 (DLP) 或远程浏览器隔离 (RBI),或以其他方式控制对网站的访问。
这仅仅是开始。通过将透明度作为首要考量,我们不仅正在填补 SASE 能力体系中的关键空白,更在推动整个行业迈向更强大的 AI 安全实践。欢迎分享您的见解!
如果您准备好利用这些置信度评分更有效地管理风险,请与 Cloudflare 专家进行对话。