人工智能为医疗数据安全带来新的能力和风险
人工智能对医疗数据安全带来新的能力和风险
数据保护是正确管理医疗机构IT环境的关键方面。由于系统数据的敏感级别,医疗数据仍然是网络犯罪分子的首要目标之一。被攻击的数据集包括个人身份信息(PII)、财务信息和健康信息。
这些机构可以通过引入定期更新和应用程序作为DevSecOps战略的一部分来加强系统。速度、可靠性和安全性都是成功的DevSecOps方法的关键方面。用于追求这一目标的工具和流程决定了您的成功水平。
话虽如此,尽管不断发布新工具,但人工智能(AI)的最新进展却引起了广泛关注。例如,生成式人工智能和大型语言模型(LLM)正在帮助各行各业的工作者加快流程并卸载手工任务,不断改进他们的程序。
开发人员发现,AI工具可以通过几个简单的提示快速生成代码行。这项技术仍然非常年轻,因此目前尚不清楚这些努力的成功程度,但这并没有阻止许多开发团队立即开始使用AI工具。
医疗公司需要严格控制其IT基础架构。那么,AI工具如何满足他们的要求呢?
生成式AI和LLM工具可以显著增加上市时间,但风险是什么?医疗保健DevSecOps团队是否可能实现必要的控制水平?
让我们探讨一下当前的技术发展状况,以及这对信息安全团队意味着什么,以及如何安全地利用这些强大的新工具。
生成式AI和LLM的工作原理
生成式AI和LLM工具都使用提示进行工作。用户可以提出问题或请求一个功能,工具会生成一个响应。这些响应可以通过进一步的问题或提示进行调整,以最适合用户的方式。
然而,生成式AI和LLM之间存在着区别。生成式AI描述了任何一种使用学习行为生成独特内容的人工智能。它可以生成图片和文本,并涵盖大型语言模型和其他类型的AI。
另一方面,LLM是生成式AI的高度精细版本。它们经过大量的数据训练,可以产生类似人类的响应,并且更适用于DevOps实践。用户可以输入命令,要求程序创建流程或触发器,然后LLM可以生成适用于用户请求的代码。
选择合适的模型
有各种各样的AI模型可供选择。基于先前版本的开源模型每天都会用新的来源材料进行训练。像Google Bard和Open AI的Chat GPT这样的更大、更受欢迎的模型是目前使用最广泛的大型语言模型版本。
这些工具是通过对网站、文章和书籍进行训练而得到的。这些源文本中包含的信息会影响对用户查询的回应,并决定程序如何制定其回应。
生成式AI工具的架构采用了多层机制,帮助它们理解词语和陈述之间的关系和依赖性,使其更具对话性。
输入到AI模型的数据会影响响应。这些系统通过与用户的互动以及新的来源材料的学习来不断完善。进一步的训练和改进将使这些工具更准确、可靠。
从用户输入数据中学习是加快生成式AI和LLM工具学习过程的好方法。然而,这种方法可能会给DevSecOps团队引入数据安全风险。但在我们深入研究风险之前,让我们看看团队通过实施生成式AI工具可以获得什么。
生成式AI/LLM对DevOps能做什么?
开发人员可用的工具集正在迅速变得更加专业化。Einstein GPT等工具有可能改变我们对软件开发的看法,并使医疗机构能够缩短软件开发实践的上市时间。
以下是LLM工具可以为DevOps团队带来的一些好处。
-
增加发布速度
速度是DevOps团队的主要优势。能够快速引入可靠的更新或应用程序使组织更加灵活,并能够应对新兴问题。经常及时发布的医疗机构是行业的领导者,并更有可能取得成功。
LLM工具帮助开发人员在较短时间内写入大量代码,比他们自己编写代码所需的时间要少。将应用程序生命周期的开发阶段快速推进,自动化编写程序能够更快地产生结果。
-
减少手动流程
我们的团队成员是我们最宝贵的资产,但人为错误是不可避免的。将新的自动化工具引入DevOps流程可以大大减少错误并简化操作。无论是对标准的DevOps工具(如静态代码分析和CI/CD自动化)还是对LLM工具来说,这都是真实的。
开发人员能够输入指令,并让LLM工具执行大部分编码工作,大大提高了生产力。
手动、重复的任务容易出错。但是当开发人员可以将大部分编码工作交给LLM来完成时,他们只需要在提交项目之前检查代码即可。
-
提供参考资料
混淆会导致时间的浪费。当开发人员无法找到问题的答案或遇到令人困惑的错误时,生产力就会下降。生成式人工智能和LLM工具可以实时提供上下文和对特定问题的答案。
开发人员可以随时获得有关编程语言文档、错误识别和使用模式的详细解释。
故障排除变得更加简化,使您的团队能够快速恢复工作,而不是花时间进行故障排查。LLM工具提供修复建议和调试策略,以保持更新进度。
人工智能相关的潜在数据安全风险
LLM查询的响应每次都不同。虽然这在对话设置中可能效果很好,但对于使用该技术编写代码的开发人员来说,可能会导致问题。糟糕的代码会导致数据安全漏洞。对于像医疗保健这样的受监管行业,需要检查每一个潜在的漏洞。
对于这些工具的利用方式还存在许多问题,但以下是一些关键考虑因素:
-
不可靠的结果
生成式人工智能和LLM工具非常快速地生成结果,但结果可能质量不高。所有结果(无论是对历史问题的回答还是代码行)都来自输入数据。如果源数据包含错误,LLM工具提供的结果也会有错误。
DevOps团队对开发人员的要求有一定的标准。LLM工具生成的代码不会自动符合这些准则。
生成的代码的性能可能不完美,它只是对提示的回应。虽然这些工具在过去的基于查询的工具中取得了巨大的进步,但它们仍然不是完美的。
-
合规性问题
像Einstein GPT这样的工具是如此新颖,以至于人们对它们对DevOps流程的影响有很多问题。在遵守数据安全法规的合规性方面,像医疗保健这样的行业需要在安全和有信心地使用这些工具之前获得一些答案。
例如,通过LLM工具生成的代码会怎样?您是否将其存储在公共代码库中?如果是这样,这将引发关于未受保护源代码的合规性问题。如果这些代码在医疗组织的生产环境中使用会有什么后果?
这些工具是通过来自GitHub的公共信息进行训练的。我们无法确切知道这些训练中都包含了什么,这意味着可能存在安全风险。这意味着任何查询被不安全代码回答的人都会面临相同的安全风险。
受监管行业需要特别小心使用这些工具。医疗组织处理非常敏感的信息。受监管行业所需的控制级别在目前的LLM和生成式人工智能工具中是不可能实现的。
-
实施挑战
LLM工具加快了开发人员编写代码的速度。它消除了更新生产的开发阶段的瓶颈,但这个瓶颈会向下移动。在快速和过快之间存在一个临界点。要保持控制将是一项挑战。
周围的自动化DevOps工具基础设施可以帮助缓解快速开发的压力,但如果系统尚未建立,一次性采用所有这些工具将太过困难。这些工具已经存在,开发人员之所以使用它们,是因为它们能够简化他们的工作。管理层可能要求团队避免使用这些工具,但限制使用将很困难。
如何预防这些问题
这些工具在迅速增长的同时也越来越受欢迎。随着新的LLM工具不断推出,DevOps团队没有太多时间来做准备。这意味着医疗组织需要从今天开始准备,以应对与这些工具相关的潜在漏洞。
这里有一些可以帮助您避免LLM和生成式人工智能工具潜在弊端的方法。
-
加强您的DevOps流程
优化的DevOps流程将包括一系列自动化工具和部门团队之间的开放沟通。通过为团队成员提供自动化工具,可以确保项目的全面覆盖,并减少手动过程。
随着LLM工具提高代码编写速度,这些因素将变得越来越重要。利用这种速度对于确保所有质量检查在管道的后续阶段之前完成而不产生问题至关重要。
在LLM工具广泛可用之际,实施和完善这些工具的使用将为团队带来成功。医疗保健公司需要能够控制其DevOps流程。周围的DevOps基础设施提供了实现这种控制所需的支持。
-
使用静态代码分析扫描代码
LLM工具生成的代码是不可靠的。这意味着您的团队需要在开发阶段的后端花费更多时间,以确保修复任何错误,然后将代码合并到主代码库。
静态代码分析是医疗组织DevOps工具集中不可或缺的一个方面。这个自动化工具根据内部规则检查每一行代码,标记任何可能导致错误和漏洞的内容,如果不加以处理。
虽然使用通用的静态代码分析工具可能会很诱人,但它们无法提供实现一致高代码质量和合规性所需的覆盖范围。
-
提供持续培训
人为错误是数据丢失的头号原因。通过依靠减少手动工作的自动化工具,并为新老团队成员提供培训,可以减轻这种风险。LLM工具很强大,但它们的好处与风险相匹配,这取决于它们的使用方式。
为确保成功实施,与团队沟通最佳实践,并明确定义组织的期望。这些最佳实践包括验证来自LLM工具的每个代码片段的正确结构,备份关键系统数据,并避免使用任何未经授权的工具。尤其是医疗保健公司需要注意他们的团队如何与平台互动,因为他们所持有的数据的敏感性。
从今天开始引起足够的注意
生成式人工智能和LLM工具将继续普及。使用这些工具可能会带来许多潜在的巨大好处,但也存在重大风险。医疗保健公司在构建其DevOps方法时必须具有明确的意图,并且必须对来自LLM工具的每一行代码进行测试,不容忽视。
特色图片来源:Tima Miroshnichenko;感谢!
