谷歌也在摸索：AI安全领域的现实困境与应对之道

近日，笔者有机会在洛杉矶一场活动的后台与谷歌云首席运营官弗朗西斯·德苏扎面对面交流。尽管周围人声嘈杂，德苏扎依然以其一贯沉稳、条理清晰的方式，为正在应对AI安全挑战的企业提供了颇具参考价值的建议。他表示："会有一段过渡期，但我相信我们最终会到达一个更好的状态。"

他当时并非专门在谈谷歌自身，但有一点显而易见——就连谷歌自己也仍在摸索前行。

安全不能是事后补丁

德苏扎的核心观点，是安全专业人士多年来一直试图让高管们真正认识到的道理，而AI的出现让这一问题变得更加迫切：安全不能是事后的补丁。他说："企业在踏上AI之旅时，需要采取平台化的整体方法。安全不是你事后可以拼凑上去的东西，也不是可以交给员工自行处理的事情。"他特别警告了"影子AI"的风险——员工在缺乏组织监管的情况下自行使用消费级AI工具，并强调企业从一开始就必须要求平台具备安全性、治理能力和可审计性。"没有数据战略和安全战略，就谈不上AI战略，三者必须协同推进。"

值得一提的是，他并非在为谷歌云单独打广告。当笔者指出他的建议听起来像是谷歌的宣传时，他表示了异议。德苏扎说，谷歌致力于多云方法，并指出那些认为自己在运行单一云的企业，实际上几乎肯定并非如此。"即便他们选择了单一云，也在依赖SaaS应用程序，也有业务合作伙伴可能在使用不同的云。企业必须在不同云、不同模型之间保持一致的安全态势。"

威胁速度已超越人类响应极限

德苏扎还指出，威胁格局已发生根本性变化，旧有的防御模型已经太慢。他提到，从初始入侵到攻击进入下一阶段，所需的时间已从8小时骤降至22秒，而攻击面也早已远超传统网络边界。"除了你通常管理的资产之外，现在你还有模型、用于训练模型的数据管道、智能体和提示词——这一切都需要被保护。"

德苏扎特别点出了一个尚未引起足够重视的威胁：在企业内部系统中穿行的智能体，可能会发现多年来被遗忘的数据存储库。"许多组织有老旧的SharePoint服务器，访问控制长期未更新，但以前没人在意，因为根本没人知道那些服务器在哪里。然而，在企业内部漫游的智能体会找到这些数据资产，并将其中的数据暴露出来。"

他认为，解决之道是以机器速度应对机器速度。"我们现在看到一种AI原生、完全智能体化防御模式正在兴起，组织可以通过运行智能体来驱动防御。不再需要人主导防御，甚至不需要人介入每个环节，人可以转变为对完全智能体化防御体系的监督者。"他还补充说，这已经成为一个领导力问题，而不仅仅是技术问题。"这是董事会层面和高管团队层面的问题，而不只是安全团队的问题。"

安全人才短缺与漏洞激增的双重困境

然而，即便AI承担了越来越多的防御工作，能够胜任监督职责的专业人才依然严重短缺，而AI本身引入的漏洞，也正以安全团队难以跟上的速度不断增加。领英首席信息安全官莉亚·基斯纳本周在接受《纽约时报》采访时表示："我们将需要大量人手来应对'漏洞海啸'。"她同时坦言，预计整个行业至少在未来几年内，都无法以可持续的长期方式真正理解AI安全。

这将我们的目光引回到平台供应商自身。《The Register》在过去数周内发布了一系列报道，记录了谷歌云开发者遭遇的一波账单噩梦——由于Gemini模型API遭到未授权调用，许多开发者收到了高达五位数的账单，而这些服务中有很多他们从未使用过，也从未有意开通。这些案例呈现出相似的规律：原本用于谷歌地图、按照谷歌官方指引公开部署的API密钥，在谷歌悄然扩展其权限范围后，已能够访问Gemini，而这一变更并未得到清晰的告知。

面试备考平台Prentus的CEO罗德·达南表示，攻击者利用其泄露的API密钥，约30分钟内让他的账单飙升至10,138美元。悉尼开发者伊苏鲁·丰塞卡的账号同样遭到入侵，尽管他以为自己设置了250澳元的消费上限，醒来时却面对一张约17,000澳元的账单。两人都不知道的是，谷歌的自动化系统已根据账户历史，在未经明确授权的情况下将他们的计费层级提升，有效上限最高可达10万美元。

《The Register》发布初始报道后，谷歌向两人退款。但谷歌表示，暂无计划更改其自动提升层级的政策，称其优先考虑防止服务中断，而非强制执行用户设定的预算偏好。

密钥撤销的"23分钟漏洞"

与此同时，还存在另一个问题：当开发者发现密钥泄露并试图立即关停时，会发生什么？《The Register》本周报道了安全公司Aikido的研究发现：即便开发者在发现密钥泄露后立即将其删除，也可能仍不安全。根据Aikido的研究，攻击者在密钥删除后，还能继续使用该密钥长达23分钟，原因在于谷歌的撤销操作需要逐步在其基础设施中传播。Aikido研究员约瑟夫·莱昂告诉《The Register》，在这段时间窗口内，成功率难以预测——某些时间段内超过90%的请求仍能通过认证——攻击者可利用这段时间从Gemini中窃取文件和缓存的对话数据。

莱昂还指出，谷歌自身的新型凭证格式并不存在同样的问题：服务账户API凭证的撤销仅需约5秒，Gemini新推出的"AQ前缀"密钥格式也仅需约一分钟。他在Aikido的相关研究论文中写道："两者都在谷歌的规模下运行，两者都表明这个问题在技术上对谷歌API密钥同样是可以解决的。"换言之，莱昂认为，这23分钟的窗口期并非工程上的客观限制，而是企业优先级排序的结果。

这一点，在理解德苏扎的建议时值得认真思考。他的建议本身是正确的，也值得高度重视。但现实是，平台方的处方与自身的适应速度之间，目前仍存在明显差距——对此保持清醒认识，同样至关重要。

Q&A

Q1：什么是"影子AI"？企业应该如何防范？

A：影子AI是指员工在未经组织授权和监管的情况下，自行使用消费级AI工具的行为。谷歌云COO德苏扎建议，企业应从一开始就要求平台具备安全性、治理能力和可审计性，并将安全战略、数据战略与AI战略协同推进，不能将安全管控交由员工自行决定。

Q2：谷歌云API密钥泄露事件是怎么回事？

A：多名谷歌云开发者发现，他们用于谷歌地图的API密钥在谷歌扩展权限后，悄然获得了访问Gemini模型的能力，导致被攻击者利用，产生数万元的意外账单。谷歌虽对部分用户进行了退款，但表示不会更改自动提升计费层级的政策，优先考虑服务连续性而非用户的预算设置。

Q3：谷歌API密钥删除后为什么还有23分钟的安全风险？

A：根据安全公司Aikido的研究，谷歌API密钥被删除后，由于撤销操作需要在其基础设施中逐步传播，攻击者在此期间仍可继续使用该密钥，时间窗口长达约23分钟。研究人员指出，谷歌的其他新型凭证格式（如服务账户凭证和AQ前缀密钥）撤销速度远快于此，说明该问题在技术上是可以解决的，属于优先级安排问题。