AI赋能支付安全:SISA CEO解析人工智能在网络安全与反欺诈中的实战应用

本文基于对SISA创始人兼CEO Dharshan Shanthamurthy的访谈,深入探讨了AI在支付安全领域的三大战略应用、潜在风险及未来趋势,涵盖从欺诈检测到自主AI安全挑战等实质性技术内容。

The AI Exchange: 支付安全创新者专访SISA

欢迎阅读PCI安全标准委员会的博客系列——The AI Exchange: 支付安全创新者。这是我们PCI Perspectives博客的一个特别专栏,旨在为支付安全行业的利益相关者提供一个交流平台,分享他们如何在其组织中采纳和实施人工智能(AI)。

在本期《AI Exchange》中,SISA的创始人兼首席执行官Dharshan Shanthamurthy分享了其公司如何运用AI,以及这项快速发展的技术如何塑造支付安全的未来。

问:贵组织最近是如何将人工智能整合到业务中的?

我们采取了一个三管齐下的战略——AI for Cybersecurity(为网络安全而生的AI)、Cybersecurity for AI(为AI而设的网络安全)以及 AI for Continuous Improvement(用于持续改进的AI)

  • AI for Cybersecurity 侧重于将人工智能作为核心驱动力,嵌入到SISA全部十条产品线中,从而推动增长并提升运营效率。
  • Cybersecurity for AI 作为一条独立的产品线,是在18个月前应客户对AI实施安全日益增长的关切而推出的。为加强这一领域,我们还推出了一个经ANAB认可的认证项目——"Cybersecurity Professional for AI (CSPAI)",该项目在全球范围内获得了巨大的反响和采用。
  • 最后,AI for Continuous Improvement 体现了SISA的一个基本信念:学习、创新和改进永无止境。我们正在将AI融入我们所做的每一件事——在整个组织内实现更快的洞察、更明智的决策和持续的提升。

问:随着AI的应用变得如此普遍,您在组织中观察到的最显著变化是什么?

世界正以前所未有的速度发展,许多长期持有的假设正在被重新定义。我认为世界正在按下重置按钮。对SISA和许多其他公司而言,挑战在于我们在这个新的AI时代能多快地进化。这种转变不仅仅是技术上的,更是一段深刻的变革管理之旅。在进行这场变革时,我深知我们必须带着真正的意图去推进,不能把它当成走过场的任务,而应视其为取得有意义进展的催化剂。

问:您如何看待AI在未来演变或影响支付安全?

与过去任何一次技术颠覆一样,AI对于支付安全而言既有优点也有挑战。优点很多——支付欺诈检测正变得更好,安全解决方案中的AI正在自动化许多繁琐的任务,使网络安全专业人员能够专注于更高价值的工作。例如,SISA今年早些时候在RSA大会上推出了Agentic SOC(智能体化安全运营中心),展示了如何自动化L1和L2级别的任务,并且我们已经看到该解决方案被广泛采用。我们还看到AI被用于撰写报告、审查证据以及执行许多审计师(作为合格安全评估员)通常认为枯燥的任务。

另一方面,AI也正在扩大攻击面。作为一家坚信"将事后洞察转化为前瞻预判"、以取证为驱动的网络安全公司,我们观察到攻击者与防御者一样在有效地利用AI。我们发现多态恶意软件和日益复杂的恶意脚本正在增加,因为AI使得代码生成比以往任何时候都更容易、更快速。我们的《2024年BFSI行业数字威胁报告》重点介绍了其中一些新兴的AI驱动威胁。

总之,战场正在被重新定义。在AI时代,攻防双方都在以前所未有的速度进化。

问:随着AI更深入地融入支付安全,组织应考虑哪些潜在风险?

目前的AI可以从三个关键层面来看待:

  1. 分析型AI(机器学习/深度学习):通过训练算法识别模式并根据历史数据做出预测,为异常检测提供动力。
  2. 创造型AI(生成式AI):超越预测,走向生成。它并非自主行动,而是智能地响应提示。
  3. 自主型AI(智能体AI):能够思考、计划和行动——而不仅仅是响应。

AI的潜在风险必须从上述每一个维度进行评估。

  • 分析型AI中,威胁包括:数据投毒——攻击者操纵训练数据以误导模型;模型逆向攻击——对手通过反复查询重建敏感训练数据;以及对抗性样本——细微的输入改变(哪怕只是几个像素)就能欺骗图像分类器错误识别对象。
  • 创造型AI中,我们面临诸如提示注入之类的风险,即恶意指令被嵌入输入中以引发意外或敏感的输出。另一个新出现的担忧是模型供应链风险,例如篡改模型权重或数据集,从而在下游系统中引入后门。
  • 最后,在自主型AI中,我们预计会出现无限制自主性或递归循环等风险,即智能体可能在无人监督的情况下持续行动或抓取数据。此外还有多智能体共谋,即被攻破的智能体协调或影响其他智能体执行恶意行动。

第四个层面正在浮现——合成现实AI,即AI通过机器人、AR/VR及其他网络物理系统融合物理世界与数字世界。

物理世界与虚拟世界的融合将加速智能体化商务的崛起,支付安全专业人员必须共同努力保护这个不断发展的生态系统。从智能体身份和信任操纵,到交易和支付篡改,甚至供应链风险,威胁格局将迅速扩大。我们已在我们的"Cybersecurity for AI (CSPAI)“认证项目中广泛探讨了这些新兴挑战,以帮助加强支付安全社群的准备。

问:对于刚刚开始使用AI之旅的组织,您会提供什么建议?

首先,我要与任何开始AI之旅的人分享的是:要接受改变将是困难的。许多人低估了所需的变革管理规模。 其次,对高层领导进行教育,让他们真正了解AI能做什么和不能做什么。现实情况是,许多领导者高估了自己对AI的理解,因此未能为组织识别出正确的用例。 第三,在整个公司建立AI能力——每个人都应该了解AI如何影响他们的角色和决策。 第四,根据组织的规模和复杂性,制定一个明确的6到18个月转型计划。实施那些能直接改善收入或利润的变化。 最后,持续衡量进展,并确保AI转型始终保持在CEO的议程上。

问:您对哪种AI趋势(不限于支付领域)最感兴趣?

我对那些曾经超出人类能力范围的可能性感到兴奋。例如,药物发现蕴含着巨大的希望。想象一下,能够带来癌症治愈方法的突破。借助AI,预计我们可以同时延长寿命和健康寿命,让我们生活得更好、更长久。太空研究是另一个令人着迷的前沿领域,AI可以在那里推动非凡的发现,甚至推进我们成为多行星物种的愿望。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次