面對全球資安威脅日益嚴峻,企業與組織IT應用場域的防禦模式,正在轉向到零信任架構(Zero Trust Architecture,ZTA)與人工智慧(AI)安全的融合策略,以確保各種數位化應用得以持續發展。透過AI驅動的威脅偵測與自動化應對機制,結合零信任的嚴格存取控管,企業與組織將能夠建立更強大且具備未來適應性的資安框架,為數位時代的發展奠定穩固基礎,確保營運場景的安全與韌性。
!此為分頁標誌前台不顯示!
隨著企業加速採用AI技術來強化應用服務,API的安全性成為保障整體防禦策略的關鍵。陳廣融說明,現代化應用與傳統應用的核心差異在於,現代化應用高度依賴API,並採用解耦式架構(Decoupling),讓虛擬機與容器環境整合運行。而AI形態的應用主要是加入大語言模型(LLM)與企業關鍵資料集,形成持續訓練與微調的基礎,這對資安治理而言可說是全新的挑戰。
然而,導入AI技術的過程並非單純地將LLM加入應用系統,而是需要針對不同的業務需求來分析AI的適用性。陳廣融舉例,在IT維運領域,許多企業希望透過AI來監控內部系統的運行狀態,包括虛擬主機、儲存設備、網路流量等效能指標,並透過異常偵測來生成報告。這類應用並不一定需要LLM,而是可以透過傳統的資料分析與機器學習技術來完成。相對地,語音翻譯、智慧客服等應用則較適合LLM來處理,尤其台灣作為多語系環境的社會,移工、外籍人士的語音翻譯需求大幅提升,使LLM成為處理語意理解的理想解決方案。此外,AI形態的應用往往涉及外部資料源,這些資料可能來自企業內部資料庫、向量化資料庫(Vector Database)或第三方API,因此企業在導入AI時,必須事先評估其資料依賴性及存取需求,確保應用效能與資料治理的平衡。
由於生成式AI進一步強化了現代應用的能力,使人機互動方式從單純的網頁與App介面,拓展至語音、影像、視訊等多模態(Multimodal)互動模式。這種應用架構高度解耦,部署方式涵蓋地端、雲端,甚至邊緣運算場域。AI應用通常需要整合演算模型、資料、運算資源,因此資料重力(Data Gravity)成為影響系統架構的重要因素,也就是說,企業必須考量資料存放位置與模型運算的相對關係,確保應用可用性與合規性。
API的廣泛應用雖然提升了開發靈活性,但也帶來了更大的安全風險。陳廣融指出,當前AI應用的所有互動,包括前端與模型的溝通、模型對資料庫的存取,皆是基於API架構,而API的開放特性使攻擊者能夠藉此發動多種攻擊,例如API漏洞探測、API資料竊取等。
此外,生成式AI也帶來了新的攻擊手法,例如提示詞注入(Prompt Injection),攻擊者可以透過操控提示詞,影響LLM的輸出內容,進而繞過資安偵測機制,造成資料外洩。F5針對這樣的風險,提出AI Gateway解決方案,透過API安全防護機制來監測並攔截異常請求,確保AI形態的應用免受惡意攻擊。
從企業IT管理的角度來看,應用安全防護策略必須涵蓋多個層面。陳廣融表示,首先,在應用開發初期,應該導入API風險評估機制,透過API Gateway與網頁應用防火牆(WAF)來進行即時監測與存取控制。其次,在AI應用的資料存取方面,應確保API採用適當的身份驗證與權限管理,以避免資料過度暴露。此外,為了防範AI生成錯誤資訊(Hallucination),企業應結合檢索增強生成(RAG)技術,確保AI回應是基於可靠的企業資料源,而非僅依賴模型訓練內容。
陳廣融強調,AI形態的應用已經成為企業數位轉型的重要推動力,但其廣泛應用也帶來API依賴性增加與安全風險擴大的挑戰。企業與組織應透過AI安全治理框架,結合API管理、模型存取控制與AI風險評估,來確保AI應用能夠在安全、穩健的環境下運行。F5的AI Gateway方案正可滿足這些需求,提供完整的流量管理與安全治理能力,幫助企業與組織有效提升各種類型AI應用的安全性與可用性。