作者 | 张倩茹来源 | 零壹智库
“必须强调的是,安全科技并不是一个纯商业范围的议题,而是清晰的具备公共品的特征。”
随着科技的进步,数字化已成为越来越清晰的现实。不仅仅互联网,几乎所有的行业都在拥抱数字化浪潮,随之而来的安全风险也呈现愈演愈烈之势。
据Flashpoint发布的数据显示,仅2022年,全球发生的数据泄露事件就高达4518件,数据量更是达到226.2亿条。
“数字化安全风险已经进入到快迭代、高智能、全覆盖的新阶段。”中国社会科学院大学数字中国研究院联合蚂蚁集团等对外发布的《数字时代安全科技价值报告》(以下简称“《报告》”)中指出,2023年AI大模型横空出世,大大推进了深度智能时代的到来,它对安全局面的影响可能是颠覆性的。当下,我们正站在安全风险的质变时刻。
在这个全新阶段,安全科技的重要性不言而喻,对安全科技的关注与投入已刻不容缓。安全科技作为“压舱石”和“助燃剂”,一方面要守住技术的安全底线,另一方面要让新技术规模化落地,推动产业焕发新机。
《报告》认为,安全科技将会是未来的通用技术之一,应该以公共品的定位来判断安全科技的价值,推动其发展,而政企合作是安全科技成为公共品的核心驱动力。
01
质变时刻
“2008年以来,中国数字经济发展指数呈现出爆发式增长态势。”零壹智库在《中国数字经济发展指数报告(2023)》中指出,2008-2022年,中国数字经济发展指数从100上升至572.26,年复合增长率达13.27%,远高于同期9.48%的经济发展增速。
另据中国信通院的数据,2022年我国数字经济规模首次突破50万亿元大关,达到50.2万亿元,占GDP比重提升至41.5%。
伴随着数字经济的快速发展,新一代信息化数字技术与传统行业快速融合,带来了更加隐蔽、复杂的数字安全风险,数据泄漏、勒索软件、黑客攻击等事件层出不穷。
人工智能技术大爆发之后,“算法安全”“虚假信息”“数据歧视”等问题持续突出,数字安全风险面临着日趋严峻的挑战。
2023年下半年,国际身份软件巨头Okta业务系统遭到黑客攻击,导致客户敏感数据泄露;此外,《蜘蛛侠2》开发商Insomniac Games声称遭受攻击,大量内部信息被泄露。
除了企业之外,政府机构也面临各类数字风险。2023年9月,美国国家安全委员会被报道泄露了其成员的近万封电子邮件和密码,暴露了包括美国国家航空航天局和特斯拉等在内的2000家机构和公司。
生成式AI的出现导致新闻更加容易以假乱真。世界经济论坛在《2024年全球风险报告》中发出警告:在未来两年的风险展望中,由于信息错误与虚假信息所带来的影响的严重程度,超过经济衰退等其他九项风险,位列十大风险的第一位。
在这样的背景下,安全科技的发展有了“紧迫性”和“必要性”,“刚需”特质显现。
从定义来讲,安全科技包含系统安全、网络安全、数据安全、业务安全、AI安全等范畴,它是一系列旨在保护信息、网络和计算机系统免受未经授权的访问、攻击和威胁的工具、技术和系统,其市场涵盖了硬件、软件和服务。
图1:安全科技全景图
图片来源:社科院团队《数字时代安全科技价值报告》
事实上,在相当长一段时间里,网络安全即安全科技。《报告》指出,随着数字化的深入,越来越多的细分领域涌现出来,使得传统的“网络安全”概念难以覆盖,而安全科技这个词在这样一个转型期中被提出,用以关涉多个领域的技术和理念。
从时间上划分,安全科技的发展可以大致分成三个阶段:
1、本地保护阶段(20世纪70年代至2000年代初期):这一时期的安全科技主要基于密码学和防火墙技术,其保护的对象是网络相关的基础设施。
2、网络保护阶段(2000年代中期至2010年代中期):此时以入侵检测、反病毒和漏洞扫描等技术为代表的网络安全是主流。
3、智能保护阶段(2010年代中期至今):安全科技开始向智能化、自适应、自愈合等方向发展,并从技术扩展到管理,从静态扩展到动态,通过各种安全技术和安全管理措施的综合融合,构建深度的主动的防御体系。
“本质上,安全科技是一种伴生技术。它永远在面向新科技,面向新发展。”浙江工业大学网络空间安全研究院院长宣琦接受报告调研时表示,不管是哪个新技术在推进过程中形成了新的安全问题,比如面向人工智能,就会提出智能安全,面向生物科技,就会提出生物安全。新技术的发展有时候非常快速,所以安全技术的发展和创新也同样在高速变动。
这样的变动体现到市场发展方面,同样是“高速”的。据IDC发布的报告,2021年全球网络安全IT(互联网技术)总投资规模为1689亿美元,并有望在2026年增至2876亿美元,5年复合增速为11.3%。
聚焦到中国市场,5年复合增速约达21.2%,接近全球平均复合增速的两倍。具体数据显示,2026年中国网络安全IT支出规模将达到318.6亿美元,全球占比约为11.1%。
除了市场规模增长优势,我国在安全领域的技术优势也较为明显。
根据全球权威知识产权机构IPRdaily发布的《安全科技专利分析报告》显示,中国和美国共计拥有全球77%的安全科技专利。
截至2023年4月,中国是全球安全科技发明专利的最主要布局国家,共拥有专利申请数20445件,为第二名美国的2.23倍。
其中,科技型骨干企业成为安全科技专利的主力军,蚂蚁集团、华为、腾讯集团、国家电网、中兴、中国工商银行、中国移动位居全球安全科技专利申请前十名。蚂蚁集团凭借其在交易安全、隐私安全领域优势,以3806项专利数,位列全球榜首。
图2:全球安全科技专利TOP 10申请主体
图片来源:IPRdaily于2023年7月发布的《安全科技专利分析报告》
02
新型公共品
就像现代人类离不开水电气一样,安全科技也是数字经济时代不可或缺的基础设施。随着人工智能、量子计算等新技术的发展和应用,新型风险与安全科技的攻防也将无所不在。
“必须强调的是,安全科技并不是一个纯商业范围的议题,而是清晰的具备公共品的特征。”
安全科技的价值,体现在两个方面。一是守住技术的安全底线,防御可能存在的风险隐患,即当好“压舱石”;二是提高技术的安全上限,降低技术运行的成本,让新技术得以规模化落地,即做好“助燃剂”。
图3:安全科技的双重价值
图片来源:社科院团队《数字时代安全科技价值报告》
《报告》指出,从产品运作层面来看,防病毒软件、入侵防御系统等商业安全系统是私有产品,但威胁情报、漏洞信息共享、隐私计算、基础设施保护等技术和平台,都具有明显的公共品属性。
虽然长期以来,安全科技属于商业和技术界的话题,个人和社会在其中缺乏足够的表达。但安全科技的完整内涵不只是对攻击者的防御体系,还包括保护平等发展、社会团结与个人尊严的技术与服务。
《报告》认为安全科技成为公共品的推动力来自四个方面:合规激励、商业保险、标准建设、安全思维。
合规激励。当前,大多数企业往往更倾向于把资源投入到IT研发而不是安全保障上。在大部分企业自身没有直接动力来投入安全时,需要政府通过合规者的角度来推动相关的保障投入。
商业保险。商业领域的创新是落实合规的重要助手。网络安全保险能有效帮助建立数字安全事件评估及赔偿标准,这一细分赛道前景广阔。
数据显示,2019年,全球网络安全保险保费达到73.6亿美元,同比增长71%。根据安联保险集团预测,到2025年,网络安全保险市场规模将达到200亿美元。
图4:全球网络安全保险保费增长情况(单位:亿美元)
数据来源:央行南京分行科技处课题组《网络安全保险发展的实践与建议》,安联保险,零壹智库制图
标准建设,同样是一个生态合作的范畴,借助政府、头部机构与企业的带头作用,为全社会的安全技术建设提供标准。
安全思维,是指以人为本的安全设计、运维与建设并重的安全构建。数据显示,95%的网络安全漏洞是由人为错误造成的。以人为本的安全设计要求在整个安全风险的控制管理流程中,优先考虑参与者的体验,而不仅仅是技术考虑。
运维与建设并重的安全构建,针对的是当前我国在安全方面的一个普遍倾向,即企业和政府部门构建信息化系统时,普遍存在“重建设轻运营”现象。因此,我们的安全构建思维,要从传统的硬件模式,转向更偏重软件的服务模式。
03
新形势
“过去说到AI应用,都是比较‘虚’的;但现在AI在各个行业的应用,变成了一个非常现实的情形。”
香港科技大学副校长汪扬表示,大语言模型是人类的财富,它在一些垂直领域的应用发展,或许会颠覆整个数字经济,而且会产生崭新的模式,带领我们进入经济发展的下一段路程。
而在这一段路程上,除了机遇,还充满了风险。
有新技术的地方,就有新的安全风险。2023年年底,杭州上城区网警破获一起重大勒索病毒案件,犯罪团伙成员均有网络安防相关资质,且有供职大型网络科技公司经历,他们在实施犯罪过程中借助ChatGPT进行程序优化,犯罪手段相当“与时俱进”。
ChatGPT爆火了一年多,在带动大模型和人工智能赛道起飞的同时,也让全球业界更加担心日益凸显的AI安全风险。
《报告》将AI安全风险分为三类:第一是内生安全,像“数据偏见”“观点霸权”“决策黑盒化”等问题属于这一类。
针对“决策黑盒化”,蚂蚁集团副总裁、首席技术安全官韦韬表示,深黑盒化,也就是AI大模型分析决策出现不确定性和不可知性,这带来了三大新挑战:第一层是认知一致性对齐;第二层是决策如何白盒化;第三层是如何让交流协同演进。
第二是衍生安全问题,即人工智能系统失误可能引发一些重大安全事故。如生成虚假新闻、深度合成伪造进行诈骗与钓鱼攻击,侵犯他人肖像权、隐私权,涉及人身安全、隐私保护、军事与国家安全、伦理道德和法律规范等一系列与社会治理有关的挑战性问题。
第三是外生安全问题,也就是面向人工智能系统的外部网络攻击对抗。一方面,数字化、网络化程度越高,可被攻击的部位、结点就越多;对数字技术的依赖程度越高,网络破坏造成的后果就越严重。另一方面,黑灰产攻击模式也随着业务创新、新科技引入,逐渐呈现专业化、多样化、智能化、产业化的特点。
图5:人工智能安全的三大类别
图片来源:社科院团队《数字时代安全科技价值报告》
“技术是把双刃剑”,安全科技就是打造足够安全的“刀鞘”。过去几年,微软、谷歌、蚂蚁集团、腾讯等不少科技公司纷纷投入可信AI的研究和应用。像蚂蚁集团自2015年起研发可信AI技术,已解决了风控场景中的诸多难题。
蚂蚁集团安全实验室首席科学家、可信AI负责人王维强曾表示,大模型安全既要“快”也要“慢”。在安全防御方面要“快”,要能快速检测、查杀病毒,确保服务无毒害;在安全可信方面要“慢”,要能长远地、体系化地保证整个系统环境的可控、可信。
大模型风险的一个可能路径存在于预训练的大规模数据中,如果数据本身“有毒”,带有在偏见和歧视,或有虚假信息等质量问题,那么大模型输出的内容就存在安全问题。
另一个渠道是行业领域微调的过程中涉及到的一些标注,也可能有诱导错误的人类对齐、错误价值导向的恶意标注,不可靠的低质量标注和缺少多样性的固化标注,这类标注都会带来安全风险。
在实践应用中,针对大模型的安全风险,业界已有“大模型质检”类安全产品推出。2023年9月,蚂蚁集团宣布推出一项名为“蚁天鉴”的全新大模型安全一体化解决方案。这一解决方案包含两个关键产品:大模型安全检测平台“蚁鉴2.0”和大模型风险防御平台“天鉴”,为大规模AI模型的安全保障带来了全新的突破。
图6:蚂蚁大模型安全实践
图片来源:社科院团队《数字时代安全科技价值报告》,蚂蚁“蚁天鉴”大模型安全方案
再比如,蚂蚁数科安全科技品牌“蚁盾(ZOLOZ)”与中铁建设物资公司共建了产业风控平台,依托蚁盾提供的合规、安全的数据管道,可以一站式查询企业资质、经营信息、司法诉讼、关联风险、新闻舆情等多维度数据,也可以了解细分行业的发展趋势。
2023年,除了火爆的人工智能之外,我国数据要素市场建设也在加速,从基础制度体系的建设,到交易市场的活跃,全方位推进。目前,我国正处于数据产业发展的关键时期。
2024年1月1日,《企业数据资源相关会计处理暂行规定》正式施行。数据资产入表政策落地,意味着数据要素产业化大时代的开启。
1月4日,《“数据要素×”三年行动计划(2024—2026年)》正式发布,从征求意见到正式发布,用时不到一个月,进展神速。其中提出,到2026年底,数据产业年均增速超过20%,场内交易与场外交易协调发展,数据交易规模倍增。
数字化背后这汪名为“数据”的巨大海洋,正在前所未有的翻滚,产生巨大的动能和势能。据国家发改委专家初步测算,全国企业数据要素支出规模约为3.3万亿元,如果考虑数据资产评估、质押、融资等衍生市场,整体规模可能超过30万亿元。
而数据要素市场的有效运转,离不开数据安全合规这一基础,安全科技的需求将在数据要素产业全面发展的过程中迎来爆发。
从趋势上来讲,伴随着IT架构的演进,安全科技走向了无边界,逐渐超越传统安全的新一代技术集群,未来将呈现智能化、零化、弹性化、匿名化、量子化的发展趋势。安全科技将作为方向盘,始终将各种新兴科技控制在向善的道路上。
原文标题 : 社科大万字调研深度解读:安全科技为何是新型公共产品?