想读这本书是因为最近在工作的时候遇到了天花板,目前自己做的业务和网络安全相关的大模型应用算法 & AI Agent 工作,对于安全的理解,很大程度上也会影响做出来的效果如何,AI 时代,构建本身门槛不算很高,但是自己对业务和技术本身的理解,会影响自己对所要做的产品解决的问题的描述清晰度,如果只是说要提高产品质量,提高产品销量,却没有任何的思路,或者都是一些完全不可行的思路,即使有了 AI 的加成,做出来的效果也大概率不满意。也顺带聊一聊对 LLM 安全 & AI Agent 安全的思考。
安全来自未雨绸缪,当有一天出现了安全事故才去想着安全的问题,已经很晚了会造成无法挽回的损失,无论是用户的流失,信任的崩塌,还是收入下降或者罚款,比如最近的快手,还有前几年的滴滴。
安全是一层保险,我们在买电子产品,或者买车的时候,每年会用 5% 左右的钱用于购买保险,买房子会装防盗窗,防盗门,会购买灭火器等保险用品,因为我们知道,一旦发生了问题损失是非常严重的,但是国内很多公司却可以几乎忽略对于安全的投入,一旦出现了问题,也是致命性的,用户对于平台的信任在缓慢地流失,产品也因为常年没有安全护栏也变得问题层出不穷,千疮百孔。
安全是否有效果来自对原则的值守,不同的产品对于安全的需求也不同,过度强调也会造成资源的浪费,不同级别的公司对于安全的原则也不同,是否有效果,来自于对于原则的值守。
这本 CISSP 教材对于安全方面的介绍还算比较全面,具体到某一模块还是深度不够,阅读这本书可以对安全建立一个全面的认知。
最近三年 LLM 一直在风口浪尖上,从最初的 chatbot,慢慢发展到现在可以工作的 AI Agent(Claude Code,OpenClaw 等),LLM 可能会给出一些错误的医疗建议,会被使用者起诉,OpenClaw 从最初的追捧到后来对于安全的疑虑被各个大厂封杀,LLM 和 AI Agent 本身的安全问题也慢慢被关注了起来,LLM 的安全问题主要是对于训练模型的从业者来说,对于使用者来说需要注意模型毕竟只是一个预测下一个 token 概率的机器,需要构建很多的护栏避免失控。
