產業追蹤/企業導入AI 風險、策略停看聽
AI示意圖。 路透
生成式AI在短時間內快速席捲全球,生成式AI的快速發展正改變企業的運作方式,隨着相關工具的普及,企業人才的數位素養和資安技能顯得更爲重要,企業在培育人才時須重視這些領域,幫助員工在充分利用生成式AI提升生產力的同時,有效應對潛在的資安風險。
針對潛在資安風險及因應措施方面,其中在生成式AI的潛在資安風險方面,一、駭客利用生成式AI增強攻擊手段:生成式AI爲駭客或不肖人士提供了新的工具,使駭客能更輕易地進行攻擊、密碼破解以及網路釣魚。這些攻擊方式變得更具威脅,且難以被傳統的安全防護措施檢測。例如,駭客可以利用生成式AI建立逼真的郵件或訊息,誘騙員工點擊惡意連結或提供個人資料。
企業導入AI 相關風險與因應策略 圖/經濟日報提供
此外,AI工具強大的計算能力也使得密碼破解過程更加快速,進而入侵企業內部系統。
二、員工不當使用生成式AI工具引發的內部風險:員工使用生成式AI進行工作時,往往無意間涉及企業的機密資料。例如,在處理工作文件、客戶資料或計劃執行時,員工可能會將這些資料輸入生成式AI工具,以獲取建議或幫助。由於這些工具往往需要將資料發送到雲端進行處理,這就增加潛在資料泄漏的風險。如果這些數據資料被存儲或共享,將可能導致嚴重的企業損失和法律責任。
三、生成式AI可能生成不安全的內容及建議:生成式AI工具在生成內容時,可能會出現錯誤或生成不安全的內容和建議,尤其是在編寫程式或提供相關建議時。如果這些錯誤未被及時發現,可能導致系統漏洞,進而被惡意攻擊。此外,生成式AI可能無法正確理解上下文,從而生成錯誤或不適當的內容,並違反企業的道德準則或法律規定。
在企業端應採取的資安策略方面:一、加強技術防護措施:企業應在技術層面或員工管理中建立相關防護措施,以防止駭客外部攻擊並減少內部風險。例如,實施「零信任」架構(ZTA)及多因素驗證(MFA),企業可以透過多因素驗證阻止密碼泄漏及資料外流,零信任架構也能確保內部員工或系統被入侵時,能有效限制攻擊範圍併爲企業設立止損點。
二、制定並落實內部使用政策:企業應明確規定哪些數據和資料可以輸入生成式AI工具,哪些資料必須嚴格保密。對於機密資料的處理,應設置嚴格的流程,對於被使用的生成式AI工具進行嚴格的安全性評估,確保符合企業的安全標準。
三、加強企業員工培訓:確保企業員工瞭解生成式AI相關數據隱私和法規,企業應定期進行安全培訓,透過系統性的課程,提升員工對於生成式AI潛在風險的認知,包含資料外泄、模型偏誤、著作權侵害等議題。同時,建立健全之內部通報機制,鼓勵員工積極主動地通報任何疑似資安事件,以即時遏止風險擴散,並確保組織營運的永續性。強化員工防範資安風險是企業應對生成式AI資安挑戰的重要一環。透過系統性的安全教育訓練,不僅能提升員工的資安意識,更能守護企業的數位資產。
生成式AI如同一把雙刃劍,爲企業提升了效率和增加創新機會,但也伴隨相對應的資安風險。企業必須瞭解風險的嚴重性,並採取積極的對應方式進行保護。透過運用技術防護、員工培訓、政策制定等多方面的策略,企業可以在享受生成式AI帶來的好處的同時,有效應對和緩解其潛在的資安威脅,確保企業的持續穩定運行。
(作者是商業發展研究院數位創新人才研究所研究員)