隆重推出Cloudflare One for AI，让您可以更安全、高效的使用AI服务

我们隆重推出Cloudflare One for AI，一个全新功能集合，可以帮助您的团队在维持Zero Trust安全态势的同时，使用最新的人工智能服务进行构建。

Cloudflare One提供的一系列工具帮助您的团队安全使用人工智能服务，无需担忧因安全部署及管理方面的繁复问题，同时也可确保网络架构整体性能不受影响。

大型语言模型，更大的安全挑战

大型语言模型（LLM），例如OpenAI的GPT或Google的Bard，包含一个神经网络，使用一组数据进行训练，可根据提示预测和生成文本。用户可提出问题，征求反馈，并依赖该服务创建从诗歌到Cloudflare Workers应用的各种输出。

这些工具也与真人有着惊人的相似之处。与一些真实的个人对话一样，过度分享可能成为这些人工智能服务的一个严重问题。在LLM模型擅长的用例中，这种风险会成倍增加。这些工具可以帮助开发人员解决困难的编码挑战，或让信息工作者从杂乱的笔记中创建简洁的报告。虽然有帮助，但进入提示词的每一项输入都成为离开组织控制的一段数据。

对于像ChatGPT这样的工具，一些反应是试图彻底禁止；在公司层面或甚至全国范围内。我们认为您不应该这样做。Cloudflare One的目标是允许您安全地使用需要的工具，无论它们位于何处，而不会影响性能。这些功能类似于Cloudflare One Zero Trust产品的现有用法，但我们希望详细介绍一些用例，以便您的团队能够利用最新的LLM功能。

衡量使用情况

SaaS应用程序使任何用户都能够轻松注册并开始测试。然而，这种便利也使得这些工具成为IT预算和安全策略的负担。团队将这个问题称为“影子IT”——即在组织内部采用未经批准的应用程序和服务。

在预算方面，根据早期采用客户的反馈，这些客户知道团队成员开始尝试使用LLM，但他们不确定如何做出商业许可决策。他们需要什么服务和功能？他们需要购买多少个席位？

在安全性方面，AI工具对完成工作来说可能是革命性的，但在数据控制策略方面则令人恐惧。团队成员将AI工具视为痛苦问题的倾诉对象。这些服务邀请用户带着他们的问题或挑战前来。有时，那些提示词中的上下文会包含绝不应该离开组织的敏感信息。即使团队选择并批准了某一家供应商，组织的成员可能仍然更喜欢另一个AI，并继续在其工作流程中使用它。

订阅任何计划的Cloudflare One客户现在都可以查看AI工具的使用情况。您的IT部门可以部署Cloudflare Gateway并被动观察多少用户选择哪些服务，作为开始确定企业许可计划范围的一种方式。

管理员也可以通过一键禁用这些服务，但这不是我们今天的目标。如果您选择ChatGPT作为批准的模型，并且希望确保团队成员不继续使用其他替代方案，则可能希望使用此功能。但是我们并不希望您完全禁用所有这些服务。Cloudflare的首要任务是让您能够安全地使用这些工具。

控制API访问

当我们的团队开始尝试使用OpenAI的ChatGPT服务时，它对Cloudflare的了解程度让我们感到惊讶。我们要求ChatGPT使用Cloudflare Workers创建应用程序，或指导我们配置一项Cloudflare Access策略，大部分情况下，结果是准确和有帮助的。

但在某些情况下，结果可能差强人意。AI可能使用了过时的信息，或者我们询问了最近才推出的功能。幸运的是，这些人工智能可以学习，而且我们可以提供帮助。我们可以使用限定输入训练这些模型，并连接插件，以便在客户使用Cloudflare服务时提供更好的AI指引体验。

根据客户反馈，他们也希望做同样的事情。像我们一样，他们需要安全地分享训练数据，并授权AI服务的插件访问权限。Cloudflare One的安全套件不局限于人类用户，让团队能够通过API安全地共享敏感数据的Zero Trust访问权限。

首先，团队可以创建服务令牌，外部服务必须提供这些令牌才能访问通过Cloudflare One提供的数据。管理员可以向发出API请求的系统提供这些令牌，并记录每个请求。如有需要，团队可以一键撤销这些令牌。

创建和发行服务令牌后，管理员可以创建策略，允许特定服务访问它们的训练数据。这些策略将验证服务令牌，并可以扩展到验证国家、IP地址或mTLS证书。管理员还可以创建策略，要求人类用户在访问敏感训练数据或服务之前，通过身份提供商进行身份验证，并完成MFA提示。

当团队准备好允许AI服务连接到其基础设施时，他们可以使用Cloudflare Tunnel，而不用在防火墙上开洞。Cloudflare Tunnel将创建一个到Cloudflare的网络的加密、仅出站的连接，其中每个请求将根据为一个或多个由Cloudflare One保护的服务配置的访问规则进行检查。

通过Cloudflare的Zero Trust访问控制，向组织决定提供给这些工具的数据发出的每个请求，都可以要求进行身份验证。这仍然留下一个漏洞，就是团队成员自己可能会过度共享数据。

限制数据上传

管理员可以选择一项AI服务，阻止影子IT替代方案，并仔细地管理其训练材料的访问权限，但人类仍然参与到这些AI实验中。即使使用经批准的AI服务，我们中的任何一个人也可能在使用过程中不小心过度共享信息，从而意外造成安全事件。

我们预计AI领域将继续发展，提供更多的数据管理功能，但我们认为您不应该等到那个时候才开始将这些服务纳入安全管理的工作流程。Cloudflare数据丢失防护（DLP）服务可以提供保障，阻止过度共享，以防其变成安全事件。

首先，告诉我们您关心的数据是什么。我们提供简单、预配置的选项，让您能够检查类似社会保险号码或信用卡号码的内容。Cloudflare DLP还可以根据团队配置的正则表达式进行扫描。

一旦定义了绝不应该离开组织的数据，即可构建关于如何与AI服务共享和不共享的颗粒度规则。也许一些用户获准测试包含敏感数据的项目，在这种情况下，您可以构建一个规则，只允许某个Active Directory或Okta组上传这种类型的信息，并阻止所有其他人这样做。

在无需代理的情况下控制使用

本文介绍的工具主要关注应用于传输中数据的功能。我们还希望确保应用程序中的配置错误不会导致安全违规行为。例如，ChatGPT的新增插件功能将外部服务的知识和工作流程引入到AI交互流程中。然而，这也可能会导致插件背后的服务获得超过您想提供的访问权限。

Cloudflare的云访问安全代理（CASB）扫描您的SaaS应用程序，以检测用户进行更改时可能出现的潜在问题。无论是就某人刚意外地公开到互联网上的文件发出警告，还是检查GitHub存储库是否具备正确的成员控制，Cloudflare CASB可消除检查SaaS应用程序每一项设置潜在问题所需的手动工作。

我们正在开发与流行AI服务之间的新集成，用于检查错误配置，将在不久后推出。和这些服务的大多数用户一样，我们仍在进一步了解潜在意外可能发生的情况。我们很高兴能为使用Cloudflare CASB的管理员提供我们的第一批AI服务控制功能。

下一步？

这些工具的实用性将会不断增加。借助AI服务指导和生成输出的能力，来自不同领域的创作者将更容易创建出更优秀的项目。

我们也有同样的目标。Cloudflare的产品旨在帮助用户构建应用程序和服务，我们的Workers平台消除了诸如担心在何处部署应用程序或如何扩展服务的烦恼。Cloudflare解决了这些问题，以便用户专注于创作。结合AI服务，我们期望看到成千上万的新构建者推出下一波基于Cloudflare平台并受到AI指导和生成启发的产品。

我们已经看到数十个使用ChatGPT之类的工具指导在Cloudflare Workers平台上构建的项目蓬勃发展。我们计划推出与这些模型的新集成，使这一过程更加无缝、流畅，并为聊天体验带来更好的Cloudflare特定指导。

我们也知道这些工具的安全风险将随之增加。我们将继续为Cloudflare One引入新功能，在这些服务发展的同时始终领先于风险。

相关推荐: Target降低免邮门槛，应战亚马逊和沃尔玛两大巨头

为了在电商战役中拉开差距，美国最时尚的“高级”折扣零售店Target率先拉低可获得免邮费服务的订单量要求。Target已厌倦追随竞争者的脚步，该零售商将在今年春季推出在线预订系统，还正在多个市场测试当天将商品送达服务。 雨果网从《财富杂志》2月23号的报道中了…