生成式人工智慧全面改寫各行各業所帶來的資安危機
近期,基於大型語言模型LLM的生成式人工智慧,已經在各行各業展示了足以顛覆產業生態的強大能力,加上OpenAI開放的「GPT商店」,雖然不太容易上手,但隨著社群媒體及開發者社群的推波助瀾,更加強化了AI的滲透率。
在不久的未來,會愈來愈多表現的像人類的資訊系統或機器人,用來解決特定或不特定的任務,這些機器人在感知、規劃、推理、學習、溝通,決策,以及行動方式,都會愈來愈像人類。
但是,高效率伴隨著高風險,生成式AI正迅速融入個人和專業領域,目前生成式AI的應用不僅僅是內容生成、資訊攫取、自然語言聊天、翻譯和程式碼生成,生成式AI已經可以進行學習並建構特定領域的知識,並且針對未知狀況進行模擬和預測,例如針對特定疾病的診斷、生產設備的磨耗、維修,以及衍生的庫存管理,或是對未來市場需求的判斷,在效率上已有大幅超越人類的趨勢。
因此,世界各先進國家,正快速通過人工智慧相關法案,希望對AI在應用面所牽涉到到的各種議題,建立全面性的監管及指引,使開發者能從透明性原則、使用者中心原則、可控性原則、安全保護原則,建立AI發展藍圖,使AI的運作及風險管理模式,建立相關職能與工具。
AI已成為犯罪者的強力工具
隨著生成式AI融入許多常見的應用程式,經過充分訓練的AI模型具有對話,處理問題,開發和測試程式碼等多樣化功能,AI可以用來強化組織的生產力,提高個人效率,當然也會被利用進行各式犯罪,透過生成式AI,駭客打造惡意程式的門檻愈來愈低,駭客可以先透過爬蟲大量蒐集組織對外暴露的弱點或可用資訊,再用AI打造多變化的惡意程式,以繞過防毒軟體的防護,或是透過各式社交攻擊,騙取重要資料或民眾財產,例如透過民眾的IG、FB所公開的照片、影片,用深偽技術模擬後,撥打幾可亂真的視訊詐騙電話。
而且,大量公開的各式人工智慧應用程式、GPT Store,也很難判斷背後開發者的真正意圖,是否存在惡意。
保華資安董事長陳英俊觀察,生成式AI產生的內容,很可包含錯誤及侵權的內容,使組織產生法律或信譽上的損害,因此組織在內部建立安全規範,對於生成式AI的有效應用非常重要,例如涉及大規模處理高敏感個資或機敏資料,或是可能影響他人的法律權利,或有倫理規範之疑慮,應有專責單位進行審核,保持警覺是確保組織合法合規的重要因素,而在管控AI形成的資訊安全風險上,許多廠商正致力於透過AI來偵測各種惡意攻擊,例如透過零信任的決斷引擎,加入AI判斷機制,可以極早期發現惡意程式入侵,或是當攻擊者發起APT攻擊時,正確終止存取權限。
AI促成工業5.0大躍進的隱憂
工業4.0在AI加入後,直接變成工業5.0,不論是透過嵌入各種感應器或機器學習功能,促進機器人的協同合作,或是透過深度資料管理和分析,強化系統效率降低浪費,或是透過虛擬實境及各式穿戴裝置,打造擬真的數位孿生,降低作業風險並提高人機互動與操作性,近期輝達執行長黃仁勳,就展示了未來AI智慧機器人以及數位孿生的應用,保華資安總經理張迺森認為,這些便捷的應用,將對各種產業將帶來革命性的影響,工業5.0的時代已經加速到來。
保華資安副總林軒宇補充,未來即便是不具技術背景,也可以透過數位孿生平台的數位模型,進行參數調整,並且數位孿生環境可以預先模擬參數調整的結果,並安排好停機調整時間,透過AI及機器視覺的協助,對產品進行品檢,達到更快的資料分析與預測,對生產流程進行優化,預測機器可能出現的問題,即時監測整個系統的運作狀況,使AI的使用更加平民化及智慧化。
避免AI成為資訊安全危機的破口
參照目前世界各國對工業5.0及AI智慧製造的研究,彙整應該強化注意的風險如下:
物聯網技術與設備安全:數位孿生模型為了達到即時監控,仰賴大量安裝在機台、設備及各種被模擬物體上面的感應器,以回饋真實世界的物理現象,並透過遠端控制功能操控物理實體,但這些設備可能使用廉價且防護力不足的感應器及控制器,必須透過對物聯網設備進行資訊安全漏洞檢測,方可從資料源頭終止入侵者。
被模擬的物體所涉及的機密資料安全:數位孿生模型主要真實物體進行1:1的模擬,但模擬真實物體可能連同大量製造端的商業機密,甚至是敏感性個資一併進行模擬,此時若使用外部的數位孿生平台進行模擬,將可能產生資料外洩的疑慮,此時若沒有端點防護機制,數位孿生模型整體資料流過程中,所涉及的每一台資訊設備,都可能變成破口。
數位孿生呈現錯假資訊或遭竄改:數位孿生模型獲取真實物體之資料後,回饋製模型進行模擬運算或操作,此時資料傳遞過程中,若是沒有防止竄改的正確性驗證機制,可能導致數位孿生模型遭中間人攻擊,呈現錯假資訊,使操作者判斷錯誤,下達錯誤指令,可能導致被模擬的物體毀損,組織應該思考整個數位孿生系統生命週期安全,佈建妥適的防護縱深,並以零信任架構,提早發現數位孿生系統已經遭到入侵。
而使用者的資訊安全意識不足,一直以來都是最大的安全漏洞,因此,林軒宇考量到未來AI將深入組織各功能領域,已經提前識別出12種不同的資安風險及400項的管理措施,並且建議各組織,透過縱深防禦、資安管理制度導入,搭配弱點掃描、滲透測試等資安檢測,進一步參考相關國際標準,如ISO 27001、NIST企業網路安全指引、機敏資料保護,以及零信任架構,將可能涉及敏感資料的資通設備,以EDR作為端點防禦的開始,搭配UTM、次世代防火牆等,靈活佈署邊界防禦,以微區隔作為基本概念,達成零信任ZTA。
最後,林軒宇指出,只有透過組織全面導入資安、智財及營業秘密管理機制之內外部議題鑑別,確認可能涉及的資料運用、分析、對當事人產生法律效力等適法性議題,加上以零信任為概念的技術檢較方案,不斷持續的循環改善,方可讓組織在未來的工業5.0、AI智慧化時代,安然度過駭客攻擊的危險。
點關鍵字看更多相關文章
延伸閱讀
中保科技助台北101守護全球最貴聖球安全 最強AI監控技術搭配維安團隊首度曝光
大谷翔平1.4億「50/50紀念球」13日將於台北101展出,維安團隊正面臨前所未有的挑戰! 為了保護全世界棒球迷心目中的聖球,台北101特別邀請台灣科技保全第一品牌中保科技集團協助,進行三個月AI安防服務,將AI技術整合進維安方案中,利用先進AI影像辨識系統,搭配精英維安團隊,以及24小時連線的防
中保科 獲肯定傳佳績 榮獲外資精選百強及國家品牌玉山獎《傑出企業類》獎 表彰品牌與市場卓越成就
中保科(9917)近日頻傳佳績,除獲2024外資精選台灣100強,顯示在市場面、基本面、永續面等三個標準均受到肯定。此外,第21屆國家品牌玉山獎評選中,也榮獲《傑出企業類》獎項,在21日頒獎典禮上,行政院鄭麗君副院長嘉許表達「謝謝,全靠你們守護我們」。