當AI遇上駭客:新世代的資安挑戰
2024/6/1 作家:林家瑋Ray
2086
隨著時代進步,人工智慧(AI)也逐漸地走進我們的日常生活,尤其生成式AI的崛起,再次掀起了AI熱潮,AI雖然帶來許多便利,但也產生許多資安威脅,因此除了應認識AI之外,也應了解AI會帶來哪些資安風險,並學習如何應對。
為何生成式AI會竄起?
有人稱2023年為生成式AI元年,因為這一年生成式AI迅速竄起,它解決了科技領域長期以來面臨的巨大挑戰—讓機器理解並生成接近人類自然語言的能力。
回想六年前,當我的團隊在開發AI與Chatbot產品時,那時AI在理解人類英文語言的能力非常好,正確率甚至都可以落在99%以上,大幅超越人類的正確率,但在理解中文語言時,卻差強人意,正確率頂多落在80%。不管是生成英文文章或是中文文章,其內容「機械味」都非常濃厚,甚至不堪使用。為什麼落差會這麼大呢?
其實最大的問題,除了因為英文每個單字之間都會用空白間隔好辨識,而中文都黏在一起難區分之外,中文字詞本身的意涵也很深奧,標點符號放在不同地方,意思就差之毫釐謬以千里。不信的話,可以看看以下範例:
1.冬天能穿多少穿多少,夏天能穿多少穿多少。(到底要穿多還穿少?)
2.一是誰都看不上,二是誰都看不上。(到底是誰看不上誰?)
3.以前是喜歡一個人,現在是喜歡一個人。(到底是喜歡單身還是單戀?)
4.我從小便認識了你。(到底逗號要放在哪?)
5.行人等不得在此小便。(到底有沒有在這小便?)
是不是很難解釋?連人類都很難區分的字詞,要如何期待AI理解後,並生成準確的段落,甚至是文章呢?而ChatGPT的出現,卻大大地跌破了我的眼鏡,其對於文字的理解及生成的準確性,遠遠超出了原先對於AI的認知。甚至ChatGPT已經迅速被應用在各種場景,從教育、內容創作到程式開發,包括商業和研究領域,ChatGPT都展示了廣泛的應用潛力。例如:在教育領域,它能夠提供個性化學習建議和資源;在內容創作中,它幫助創作者克服創意瓶頸,高效生成文案和故事;在程式開發上,它能夠自動生出程式碼,提供Debug建議,從而提升開發效率。
生成式AI與常見的AI資安風險
隨著生成式AI的廣泛應用,相關的資安風險也隨之增加。以下是生成式AI的案例與其潛在風險:
一、文字生成:生成式AI能夠自動撰寫文章、創意文案或對話回應,在提高效率的同時,也帶來資安隱憂。駭客可能利用此技術生成假新聞的文章、釣魚郵件或其他欺詐性內容,對公眾資訊安全造成威脅。例如:某些惡意廠商開發交友APP,利用生成式AI撰寫虛假個人資料和對話訊息,詐騙使用者付費。
二、音樂和語音生成:生成式AI的另一應用是生成逼真的語音回應或音樂。這項技術的資安風險在於,合成的語音會被用於語音釣魚攻擊,或偽造公眾人物(例如:總統、明星等)的聲音進行詐騙或散播假消息。
三、影片生成:生成式AI結合影像和聲音技術,可以創造出看似真實的影片,讓特定人物在說話或進行特定行為。像是鼎鼎大名的深偽(Deepfakes),可以被用來製作假新聞、影片、進行敲詐和詐騙,甚至干擾選舉和破壞公眾的信任。
除了生成式AI之外,生活中常見的AI應用也會帶來資安威脅,像是:
一、AI虛擬助理:Siri、Google助理和Alexa可幫助使用者完成日常任務,但它們透過聽取和處理使用者的語音指令來工作,可能會發生未經授權的第三方竊聽和錄音的風險。此外,如果駭客能夠控制這些虛擬助理,他們可能存取或控制使用者的個資和其他IoT設備。
二、臉部辨識:臉部辨識技術被廣泛應用於安全監控、門禁系統、手機解鎖、支付驗證等領域,但臉部辨識系統可能會遭到偽裝或欺騙攻擊,如:使用照片、影片或3D模型來模仿合法使用者。臉部辨識資料庫如果被駭客入侵,可能會導致大規模的個人隱私洩露。
當AI蒐集太多資料後出現的問題
隨著AI快速發展,AI對資料的需求也在不斷增加。資料是訓練AI模型、提升準確性和效率的關鍵。然而,當AI蒐集和處理的資料量過大時,可能會引發一系列資安問題,例如:
一、隱私侵犯:AI蒐集的資料中可能包含個人的敏感資料,如:身分證字號、醫療紀錄、財務訊息等。未經授權存取或處理這些資料可能侵犯隱私。此外,過度監控的問題也日益嚴重,例如:在公共安全、零售和廣告等領域,過度蒐集資料可能導致個人被無意識地監控,引發公眾對隱私侵犯的擔憂。
二、資料安全風險:大量資料儲存和處理增加資料洩露的風險。駭客可能透過各種手段,如:惡意軟體、網路釣魚或系統漏洞來竊取資料。即使資料被合法蒐集,也存在資料被濫用的風險,如:不透明的資料共享和買賣,可能導致資料在未經個人同意的情況下,被用於不當目的。
三、法律和道德問題:不同國家和地區對於資料保護有不同的法律和規範,AI蒐集和使用的資料必須遵守相關法律(例如:歐盟的GDPR),否則可能面臨重罰。此外,道德挑戰也不容忽視,例如:使用AI進行人臉辨識和情感分析,可能引發個人自由和尊嚴的擔憂。
應對AI時代資安挑戰的方法
因應AI所帶來的資安威脅,可以從以下方面著手:
一、提高安全意識和教育:定期對員工資安培訓,提高他們對於最新資安威脅的認識,並說明如何辨識和防範這些威脅。
二、強化資料保護措施:使用強大的密碼學技術來保護、儲存傳輸中的資料,防止資料被竊取或篡改。實施嚴格的存取控制策略,確保只有被授權的使用者才能存取敏感資料和AI系統。
三、實施安全設計和預防措施:在AI系統的設計和開發階段,就要考慮安全因素,採用安全設計原則和最佳實務。定期進行系統和網路的風險評鑑,識別潛在的安全漏洞和威脅。
四、採用先進的安全技術:使用AI和機器學習技術來開發異常檢測系統,及時辨識和回應異常行為和安全威脅。實施零信任安全模型,所有存取請求都要經過嚴格驗證與授權管制。
五、落實法規遵循和倫理準則:確保AI應用和資料處理活動遵守相關的法律規定,制定和實施AI倫理準則,指導員工在使用AI時應有當責的心態,不要隨意使用機密資料或個資來做訓練,避免資料外洩造成損失。
AI是一把雙刃劍,一方面為我們帶來便利和效率;另一方面也帶來諸多挑戰和風險。面對這些挑戰,我們應該主動學習與掌握相關知識,並有效防範和應對可能的資安威脅,以創造一個更加智慧、安全的環境。
Ray從事軟體產業近二十年,擅長從0到1組建團隊與開發新產品,主要專長為資訊安全與稽核、DevSecOps、AI、AWS雲端架構設計、BA與SA、軟體專案管理與SaaS敏捷產品開發等。Ray曾獲得台灣發明家創意獎、EC-Council Cybersecurity Career Mentor,經歷過美商、日商、台商、新創、上市櫃、跨國集團等不同型態的公司並擔任跨領域高階主管。除了持有資安、雲端、AI、專案管理、敏捷等超過40張國際專家證照之外,目前也是全球首批台灣首位AWS Security Hero、DevSecOps Taiwan社長、ISC2 Taipei Chapter理事與專案管理大獎(PTGA)執行顧問,至今亦翻譯校稿出版共七本敏捷相關書籍。
您可能也喜歡這些文章