人工智能與安全性：你的組織準備好了嗎？AI and Security: Is Your Organization Rea

5 月下旬，一個著名的社交媒體平台上出現了一張圖片，顯示美國五角大樓附近的美國武裝部隊總部大樓冒出滾滾濃煙。地方和國家官員很快就證實這是假新聞，但該貼文仍是在國內外投資圈傳播，導致 S&P 500 指數在反彈前下跌，雖然只是短暫的下跌。根據調查，這圖片可能是用生成式人工智能所創造產生的影像。

幾天後，一封由 350 多名人工智能專家和公眾人物簽署的公開信中，產業領袖警告「減輕人工智能所帶來的毀滅性風險，應該等同於流行疾病和核武戰爭等其他社會規模風險，一起列為全球優先注意事項。」

這些並不是危言聳聽的論述，來嚇唬商界領袖，而是為了說明幾個關鍵重點：

1. 生成式人工智能時代已經到來，而且沒有回頭路，即使要統治它也很困難。對於企業而言，創建人工智能意識文化，並讓團隊對於探索未知領域預先做好準備，更顯重要。
2. 美國立法制定相關保障需要時間。企業不能等待立法完成，才來規劃人工智能的應用、實施、安控與災難應變。企業現在就要現實地評估各種可能的威脅，並建立防禦措施。
3. 對於不良意圖的人來說，人工智能明顯讓他們更容易製作以假亂真的題材，來製造紛亂。

企業領導者應該抿心自問：「我的組織準備好了嗎？如果沒有，我該如何準備？」

企業人工智能安全應注意事項

生成式人工智能平台 Writer 最近透露，近一半的高層主管相信，企業資訊在無意時，已與使用最廣泛的生成式人工智能平台 ChatGPT 共享。這些擔憂並非毫無根據的。

事實上，網絡安全資深專家、The Mako Group執行長 David Lefever 也發現，現今愈來愈多企業領導者也在擔心可能造成的威脅。其中包括在未授權的情況下，無意與第三方系統共享資訊，所造成的「洩漏資訊」。這可能會導致隱私或機密資訊洩漏、無效和不正確的訊息傳遞、意外安控風險和其他各種威脅。

所有人工智能安全計劃至少應包括：

• 漏洞管理

隨著人工智能普及，使得網絡攻擊更興盛，零日攻擊 (Zero-Day Attack) 可能會變得更普遍。也就是說當駭客從發現漏洞到發動攻擊，系統程式開發者無法立即解決或阻止。

• 詐欺和威脅檢測

人工智能讓詐騙手法變得更先進。詐欺和威脅檢測是建立網路安全計劃的關鍵。如此可以降低攻擊風險，並且大幅減少攻擊發生時所造成的影響。

• 持續性滲透測試

進行內外部各種安控滲透測試，並非一勞永逸。公司領導者必須意識到，即使是季度測試也是不夠的，必須要持續性監控。

• 知識產權風險

在運用生成式人工智能時，企業資訊可能在不知情的情況下被洩漏。同時，當你要求人工智能工具創建一些內容並且應用時，你也有可能會無意中侵犯其他公司的商標或版權。

• 監控與維護合規性

資訊保護不只是一種期望，它現在已經成為法律。監控和維護資訊合規性，亦是企業組織整體安全策略中的重要考量之一。

如何為人工智能安全影響做準備

應對人工智能安全影響的最佳方法，就是教育觀念、建立法規、保持警惕，並且預先做好計劃，當發生漏洞時要如何迅速復原。

在整個組織中培養安全意識

對於任何的風險或漏洞，都和軟體與人員有關。為了能以安全的方式，成功地運用人工智能，你必須在整體組織中提高安全意識，並且為員工提供全面和持續的教育訓練。讓他們理解傳播這些動態文檔的政策、指南與最佳實施方式，對於建立和維護安全意識觀念非常重要。

建立人工智能護欄與管理計劃

建立安全思維的關鍵，就是制定管理計劃。提倡在負責任且符合道德規範下，使用人工智能工具。同時在不斷發展的環境中，確保合規性與管理風險。

• 指定一個跨功能的人工智能管理委員會
• 定義人工智能指南和最佳實踐方法
• 建立使用人工智能的決策流程
• 審核人工智能工具的使用情況並監控性能

為團隊創新性提供安全的環境

每個公司和員工在開始運用人工智能工具時，都必須承擔一定程度的責任。企業組織在提倡創新的同時，更要確保其合乎安全性。

在網路安全中，有些企業會設置獨立網路測試環境，在系統正式上線前，來測試方案或特定程式，以避免可能的影響。

公司不僅應該提供一個安全的場所，讓員工來探索這些工具及其功能，還應該讓員工了解該空間用途，並鼓勵他們使用它。

持續進行人工智能風險評估

隨著人工智能使用率的攀升，公司應該經常進行滲透測試。領導者還必須為團隊提供工具，來幫助了解人類與人工智能生成內容的差異性。

密切關注企業的技術投資，並內置工具，來篩選與標記在電子郵件等傳遞訊息中，AI 生成網路釣魚和詐騙內容。許多創新與發展中的新技術，亦可幫助團隊捕獲和防範惡意軟體與不良代碼。

重新評估目前使用的技術也很重要，以確保它能夠支援人工智能帶來的複雜性。

建立人工智能事件與災難復原計劃

無論你在網絡安全方面多麼地積極主動，你都不可能 100% 安全。意圖不良者或人員的錯誤，都可能讓努力發展的企業造成傷害。企業領導者與技術長都必須針對人工智能災難事件，提前做好計劃，並制定適當的應對措施。

Lefever 建議可參加相關主題的論壇與會議，了解可能的事件場景與所造成的威脅性，從而用更好的方式來控制。與你的團隊思考各種可能的情況，經由共同精心計劃，當災難事件發生時，迅速執行應對措施。

人工智能對安全的影響是可避免的

「預防勝於治療」。雖然網路惡意攻擊與安全漏洞仍有發生的可能，只要能夠有效管理、明確政策、實施指南與最佳的實做、溝通、清楚明確的決策流程與定期績核，都能在運用人工智能工具時，大幅降低安全風險。

隨時更新安全政策與因應計劃，同時了解未來這些年將有更迅速的發展變化。尋求專業團隊的協助。經由齊心協力，相互支持，我們就可以創造一個創新蓬勃發展的安全商業環境。

(資料來源: Centric Consulting)