文/劉虹君
當AI席捲世界,無所不在,它影響的不再僅止於人們的日常,但凡與AI有關的資安議題都需要重視,尤其企業在運用AI時,更需注意安全性與風險管理,以避免產生資安風險。
依據NSTC(美國國家科學科技理事會),AI資安(AI security)有兩個定義,分別是AI for Cybersecurity和Security of AI。
AI資安的定義和說明
一、AI for Cybersecurity:人們運用AI來呈現自動化,解決資安問題,用在資安的防禦和預測分析。
二、Security of AI:包括AI系統的規格怎麼驗證,怎麼去確保AI的功能、安全、強健性和公平性。AI所作決策是不是能夠被信任?如果遇到對抗式攻擊,就會需要新技術,但整體情境跟所發生的邏輯跟應該不會有太大的變化,還有AI賦能系統能不能被信任,都是Security of AI需要討論的。 因為AI的熱潮,人們會想利用AI來解決資安的問題,但從另一個角度看,AI本身是否可能成為駭客的目標,衍生Hacking AI,帶來更多資安問題? 隨著AI話題的延燒,生成式AI蔚為風氣。這項技術整合了各種產品、服務與科技而不斷成長,與此同時,持續性進化的生成式AI的應用也造成一定程度的資安影響。
AI運用可能導致的資安風險
一部分的企業搭上AI風潮,採用AI結合產品應用在公司內部,例如企劃部門,行銷人員使用文字生成器撰寫文案,使其能瞬間產生行銷活動的粗略草稿,此舉可能會導致資料外洩、資料滲透與競爭情報威脅,帶來資安風險並衍生相關客戶或公關議題。
又例如應用在IT和開發部門,程式設計師使用大型語言模型(LLM)尋找程式碼錯誤,並自動生成文件。這會導致資料滲透、資料外洩與資料完整性威脅,產生的文件可能冒險曝露公司正規不揭露的重要系統細節。另外也會帶來程式碼安全性、資料篡改、勒索軟體與IP竊取問題。可能風險則是未依循SDLC資安實作的不安全程式碼、違反智慧財產權許可要求的程式碼,或生成式AI遭勒索產物系統危害。
生成式AI最可能的商業使用案例很多著眼於內部營運,這也敦促資安領導者不要忽視供應商與第三方風險的因子。「有鑑於大部份企業組織發現生成式AI已整合在佈署的產品與服務上,資安領導者的當務之急就是第三方風險管理。」 AI相關產品的供應商除了提供該產品和服務解決方案外,應保障其解決方案的安全性。資安單位必須依相關使用資安風險案例為基礎,編制自有的一套供應商安全性與風險管理的提問,審慎評估。
