生成式AI正快速融入企業營運,AI治理議題隨之浮上檯面。企業不再只是被要求提出AI政策,而是必須證明自己如何在實際運作中管理AI風險。全球監管機構與產業標準的焦點,也正由原則與承諾,轉向可驗證的治理與控制,要求企業說明如何識別、監控並持續降低AI系統於營運過程中的風險。對法律、風險與資安團隊而言,AI已成為必須長期管理與持續驗證的營運責任。
近期多家國際知名分析機構不約而同指出三項趨勢。其一,企業必須將AI納入完整的信任與風險治理架構。其二,AI的資安風險正由模型開發階段延伸至實際執行階段。其三,企業必須建立持續監控與驗證AI行為的安全機制。這些觀察共同指向新的安全焦點,也就是AI執行階段安全。
<p> 當AI系統在企業環境中運作時,會持續接收外部輸入、呼叫API、存取企業資料,甚至透過AI Agent執行自動化任務。這種模式雖能提升效率與創新,同時也引入新的攻擊途徑。例如提示注入可能操控模型回應,越獄攻擊可能繞過安全限制,AI在與資料或應用互動時,也可能無意間洩露敏感資訊。
<p> 在這樣的需求下,AI Guardrails已成為企業落實AI治理的重要機制。它可視為AI的安全護欄,透過政策與技術機制檢查輸入與輸出,避免惡意提示操控、敏感資料外洩或產生不符政策的回應,並確保AI與企業系統互動時遵循既定規範。除防護外,企業也需持續驗證AI系統的安全性,因此AI Red Team正逐步成為重要方法。透過模擬提示操控、模型誘導與資料濫用等攻擊情境,企業得以測試AI於實際環境中的安全表現,及早發現潛在漏洞。
<p> 如今AI安全正朝平台化治理發展,整合式平台架構也逐漸成為新一代Application Delivery and Security Platform(ADSP)的方向。透過平台化能力,企業可在應用、API、資料與AI之間建立一致的安全政策與可視性,使AI創新與安全治理同步推進。未來企業競爭力,不只取決於AI創新能力,更取決於能否在安全、合規與治理框架下穩健運作AI。
<p> <本文作者:林志方現為F5台灣區總經理>