生成式 AI 應用潛力無限,但背後的身份安全風險您注意到了嗎?
生成式 AI 模型如 ChatGPT 等等,正以驚人速度革新傳統商業模式,舉凡行銷、資訊工程、法律、人事、風險管理等層面無一不受到巨大影響。然而,技術的快速發展也帶來了對身份與存取管理 (Identity & Access Management, IAM) 的嚴峻挑戰,惡意操縱、敏感資料外洩、甚至深度偽造的風險正悄然浮現。
生成式 AI 帶來的潛在網路安全風險:
- 惡意操縱與網路釣魚: 攻擊者可能利用生成式 AI 產生極具說服力的客製化網路釣魚郵件,假冒公司行號、銀行或政府機構等等,誘騙受害者提供敏感資訊。
- 敏感資訊意外洩露: AI 模型可能在回應中無意間洩露使用者輸入的個人資料,如病歷或財務狀況,若未妥善保護,將造成資料外洩。
- 訓練資料潛在偏見: 訓練資料中若存在偏見或歧視性內容,AI 模型可能放大並傳播這些偏見,進而影響社會甚至全球市場。
該如何降低生成式 AI 帶來的資安風險?
以下列出幾個主要的解決方案策略:
- 強化身份驗證: 導入情境感知的自適應多因素身分驗證(MFA)。這種 MFA 不僅要求多種身份識別(如密碼、指紋或一次性密碼),還能運用 AI 即時監控使用者行為,識別異常並防範威脅,防止未經授權的存取。
- 資料保護技術: 採用加密和匿名化技術來保護使用者資料。加密能將數據轉為不可讀格式;匿名化則移除個人識別資訊,防止數據與特定個體連結。
- 特權與最小權限管理: 隨著 AI 工具普及,特權存取管理(PAM)變得至關重要,以保護擁有高度權限的使用者和數據保管者免受憑證竊取。同時,供應商與使用者應考慮採用最小權限原則,確保使用者只擁有執行任務所需的資源存取權限,減少內部威脅和資料外洩風險。
- 定期稽核與評估: 企業應定期對 AI 系統進行安全稽核與評估,及時識別並修補任何潛在的漏洞或安全漏洞,確保 AI 系統正常運作且安全。同時應記錄所有使用者活動和存取嘗試,並對可疑活動提供即時警報。
