生成式AI為資安雙面刃　加劇網路威脅也增進防禦

生成式AI催生了新型態的網路威脅，駭客有了更多的機會利用漏洞，也可以透過更多途徑進行惡意活動。幸運的是，「反之亦然」：生成式AI可以強化企業的防禦能力。短期來說，生成式AI讓曾經一度繁重的資安流程變為高效。透過分析海量資料並識別模式和異常，生成式AI可以及時辨認新出現的威脅。

隨著駭客不斷採用新的攻擊方式，網路安全團隊也需要與時俱進，跟上最新的安全形勢。在這場「貓捉老鼠」的遊戲中，時刻保持警覺將是管理安全漏洞並保持領先一步的關鍵。

每位企業領袖都需要知道，生成式AI技術帶來了新的風險與威脅。如果沒有安全的資料，就無法應用可信任的生成式AI；而在網路安全領域應用生成式AI，將可達到事半功倍的效果。企業應該將生成式AI視為迫切需要加以保護的重要工具平台，並且讓可信任的資料成為全企業的「樑柱」。同時，根據「速度」和「規模」兩個標準，重新定位與調整對網路安全的投資。

生成式AI帶來新的風險與威脅

生成式AI為網路攻擊提供了全新的「彈藥庫」。當今的駭客不再只是偽造電子郵件，而是可以模仿聲音、容貌，甚至個性來誘騙受害者。而這些還只是開始。

隨著生成式AI在今年更為普及，專家們預測，新型態的入侵攻擊的規模、速度、複雜度和精準度將創新高；各種新的威脅形式也會持續湧現。從可能性和潛在影響的角度來看，遭受大規模的自主攻擊將成為企業最大的風險。不過，受訪主管們倒是有不同的看法，他們認為駭客偽造或冒充真實用戶將對企業產生最大的影響，其次是創建惡意程式碼。

企業採用生成式AI的方式也會帶來新的風險。事實上，47%的受訪主管擔心在營運中採用生成式AI，會引發針對企業內部AI模型、資料或服務的新型態攻擊；幾乎所有受訪主管（96%）異口同聲地表示，採用生成式AI可能會使其組織在未來三年內出現安全性漏洞。

資料洩露為全球各型態的組織增加的平均成本為445萬美元，在美國更高達948萬美元。因此許多企業正在加大投資力度，來應對新興網路安全風險。受訪主管表示，其組織2023年的AI網路安全預算比2021年增加了51%。預計到2025年，這項預算將再增加43%。

顯然，企業資安長應該立即採取行動，應對生成式AI的風險，而不是採取分段措施。包含理解當前的AI風險狀況、確保整個AI管道安全無虞，以及投資部署專為保護AI而設計的新型防禦措施。

掌握自身的AI風險

召開董事會等級的會議，召集網路安全、技術、資料和營運主管，共同探討不斷演進的風險，包括哪些使用生成式AI的方式有可能暴露企業機敏資料，並允許未經授權即可存取系統資料。讓每位成員都認識新興的「抗性」AI——即便是在核心資料集發生幾乎察覺不到的細微變化，也可能導致惡意結果。

保護整個AI系統安全無虞

重點放在為用於訓練和調優AI模型的資料進行保護和加密。在模型開發過程中，持續掃描漏洞、惡意軟體和破壞，並在部署模型後監控特定的AI攻擊（例如資料污染和模型盜竊）。

投資部署專為保護AI而設計的新型防禦措施

儘管可以透過擴展現有的安全控制和專業知識，來保護支援AI系統的基礎架構和資料，但偵測和阻止針對AI的抗性攻擊需要採用全新的方法。

安全的資料是應用生成式AI的基礎

資料是生成式AI的命脈；所有模型都仰賴資料來回覆查詢，提供洞察。正因為如此，受訓練的資料成為網路攻擊的主要目標。駭客竊取資料，想以高價出售，資料滲透則提供了獲取非法利潤的新途徑。如果駭客可以更改影響組織生成式AI模型的資料，就可以透過有針對性的操縱或錯誤資訊來影響組織決策。這種不斷演變的威脅，帶來了一系列新的、關於法律、安全和隱私的問題；CEO們需要在全企業層面管理它們。

高階主管們看到上述問題的嚴重性。當採用生成式AI時，84%的受訪主管擔心大規模或極嚴重的網路安全攻擊，有可能造成新的安全漏洞。三分之一的受訪主管表示，如果缺乏全新的治理方式，例如完整的監管框架和獨立的外部審計，就無從管理這些風險。

總體而言，94%的受訪主管認為在部署前確保AI解決方案的安全性，至關重要。然而，只有24%的生成式AI導入專案，計畫在未來六個月內納入網路安全能力。同時有69%的受訪主管表示，談論到應用生成式AI，創新的優先層級高於網路安全。這些數字表明了：理解生成式AI網路安全的需求與落實網路安全之間，存在明顯的落差。為了避免代價高昂且不必要的後果，CEO需要採取有力措施來應對資料網路安全議題，包括投資提升資料保護的能力（例如加密和匿名處理），以及建立資料追蹤與溯源系統，為生成式AI模型所使用的資料品質，提供更好的保障。 企業需要讓可信任的資料成為組織的樑柱；在發展自身的網路安全措施時，考量多種生成式AI模型與數據服務。

將信任與安全嵌入AI應用

以安全、隱私、治理和符規為中心、優先處理資料策略與控管工作。

強調透明度和問責制在管理風險方面，對於防止偏見、幻覺和其他問題的重要性。

為AI績效保護資料

讓資安官負責找出正在訓練或調優的敏感性資料，並將其分類，然後建置防止資料遺失的解決方案，以免因為下指令而洩漏了企業資料。針對機器學習資料集，執行存取資料政策與控管。將AI建模的用途擴及到針對生成式AI的威脅，例如資料污染，以及給出包含機敏資料或不恰當的內容。

將網路安全視為企業的「產品」，將利害關係人視為客戶

網路安全對於保障AI專案順利推進以協助增加營收，扮演著關鍵角色。

為了保障在產品中使用的AI安全，必須讓團隊理解生成式AI可能帶來的網路安全威脅，並強調改變行為以改善資料和安全的價值。確保網路安全成效與業務成效相一致，從而鼓勵採用。

在網路安全領域應用生成式AI可事半功倍

若將生成式AI應用於網路安全領域，可以有效地推進企業發展。

生成式AI可以自動執行重複且耗時的任務，讓資安團隊專心處理更複雜、更具策略性的安全業務。生成式AI還可以偵測和調查威脅行動，並且從歷史事件中學習，以即時調整組織的回應策略。

由於商業效益顯著，CEO面對快速、全面導入生成式AI的壓力。但為了避免這項投資拖累了以成長為動能的企業結構體，企業領袖必須利用生成式AI技術來增加組織韌性。也就是說，主管們不但要避免導入生成式AI的風險，還可以藉著這項科技來增強組織能力。

超過一半的受訪主管（52%）表示，生成式AI將協助他們優化資源分配、能力、人才或技能；而92%的受訪主管表示，採用生成式AI技術將可能增強或提升資安團隊的能力，而不是取代現有人力。

這些新興技術工具可以幫助團隊降低工作的複雜度，專注於最重要的任務。

或許正是如此，84%的受訪主管計畫優先建置生成式AI網路安全解決方案，而非傳統的網路安全解決方案。在網路安全領域使用生成式AI，有助於在整個企業生態系中實現「倍數」效應。

84%的受訪主管表示，開放創新與生態系對於其組織的成長非常重要。由於企業希望建立有助於創新和成長的夥伴關係，故大多數受訪主管預期，是否具備生成式AI的能力，將影響其組織在未來兩年間對選擇雲端運算（59%）和全企業（62%）的生態合作夥伴的選擇。

隨著技術日益成熟，生成式AI在降低風險和創造價值方面的潛力將不斷增加。利用這項新技術、建立全面風險管理能力和韌性的企業，將能夠搶佔先機、「行穩致遠」，並為未來的成長找到有力的制高點。

根據「速度」和「規模」兩項標準，重新定位與調整對網路安全的投資

企業應該讓AI成為強化安全防禦的重要工具，鼓勵資安主管將生成式AI和自動化嵌入到其工具箱，以便大規模地快速應對資安風險與事件。這將大幅提高員工生產力，並讓網路安全賦能企業成長。

運用AI加速實現資安成效

讓不需要人類專業知識和判斷力的日常任務自動化。運用生成式AI簡化人機協作類型的任務，例如生成安全原則、主動搜尋威脅、事件回應等。

部署AI偵測新型態的威脅

更新工具和技術，使資安團隊在速度、規模、準確度和成熟度與駭客並駕齊驅。運用生成式AI更快地識別攻擊模式和異常，讓團隊及時發現新的威脅向量，防患於未然。

合作力量大

與值得信賴的商業夥伴合作，共同定義企業的AI安全成熟度，並執行完備的生成式AI策略，為全公司創造價值。

＜本文作者：林翰為台灣IBM諮詢總經理＞