請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

【企業的 AI 模型安全指南】不讓 AI 模型成資安破口,2 大切入點看企業如何自保?

TechOrange 科技報橘

更新於 2025年04月18日10:31 • 發布於 2025年04月17日03:40 • 廖紹伶

企業力求快速導入 AI 提升競爭力,但是新的安全漏洞可能隨之而來。根據思科《2025 AI 資安現況》報告, 在 AI 開發生命週期中,針對 AI 模型、系統與應用本身的安全防護,仍是企業最常忽略的部分。那麼,企業究竟該如何安全地部署 AI?

企業部署 AI,需要全新的安全評估思維

事實上,在 AI 應用中,機器學習(ML)模型是關鍵的決策引擎,負責預測、推薦與自主行動。與傳統 IT 應用仰賴預設規則與靜態演算法不同,ML 模型能隨資料變化調整行為,這種「動態學習」能力雖然帶來高度彈性,也增加了資安複雜度。

企業除了需應對既有的 IT 安全問題,還必須主動防範模型訓練、推論與決策過程遭到惡意操控。因此,「機器學習安全營運(MLSecOps, Machine Learning Security Operations)」與「大型語言模型安全營運(LLM SecOps, Large Language Model Security Operations)」等概念應運而生,主張將資安機制全面整合進 AI 生命週期之中。

與 DevOps 相似,MLSecOps 與 LLMSecOps 強調自動化與持續監控。資安新創 Protect AI 的資安長 Diana Kelly 指出,從模型開發、部署、運作到監控的每一階段,都需要完整且一致的安全策略。

隨著 AI 技術愈趨成熟,產業界如 Google 安全架構 SAIF 與 FSF、世界經濟論壇、非營利組織 OWASP 等,已提出多種可供企業安全部署 AI 的框架和原則。綜觀這些安全部署原則,企業可以從技術、管理兩大面向,思考如何管理 AI 技術風險。

AI 技術性風險如何因應?多層次的安全策略與風險預防

其中,國際非營利組織 OWASP 自 2023 年起公布 LLM 十大安全風險,2025 年版本提到 LLM 獨有的風險,包含提示詞注入、敏感資訊揭露、供應鏈風險、資料與模型投毒、不當輸出處理、過度代理授權、系統提示詞洩露、向量與嵌入弱點、錯誤資訊、無限制資源消耗。

OWASP 建議企業採取多層次策略來因應 LLM 風險,例如限制模型行為與資料來源、定義並驗證輸出格式、實施輸入與輸出過濾、落實最小權限原則、針對高風險操作設置人工審核、隔離外部與敏感內容。除此,也能導入聯邦學習與隱私保護機制,並針對資料來源與供應商進行嚴格審查;同時進行 AI 紅隊測試與風險評估,搭配零信任架構與監控系統等措施。

此外,資安平台 GitGuardian 執行長 Eric Fourrier 特別指出,隨著 AI 驅動的應用程式與 AI 代理(Agent)數量快速成長,企業必須建立完善的非人類身份(Non-Human Identities, NHI)治理機制。這包含:確立機器身分責任歸屬、預設最小權限、定期自動輪換憑證,以及強制集中管理憑證。再者,企業也應導入針對 AI 架構設計的資安工具,如權限分析器與具備感知 AI 能力的掃描器,以提升風險偵測與回應能力。

技術很重要,但如何搭配組織文化培養 AI 安全意識?

然而,僅有技術防線仍不足以抵擋 AI 帶來的新型資安風險,企業還需從開發者教育、團隊文化轉型,才能真正解決 AI 時代的資安風險。

OWASP 便強調,使用者應了解如何和 LLM 安全互動以及潛在風險。資安平台 GitGuardian 執行長 Eric Fourrier 則建議企業建立針對 AI 開發場景的資安教育制度,並提出 5 項具體做法:第一,設計專屬的 AI 資安訓練課程;第二,在團隊中培養資安推動者;第三,善用 AI 工具生成資安相關測試案例;第四,導入同儕審查流程,確保 AI 生成程式碼不含敏感資訊;第五,提供安全預設範本,提醒開發者避免硬編碼密鑰。

然而,建立 AI 安全文化除了需要跨部門協作,高階管理者的參與更是關鍵。世界經濟論壇在《AI 與網路安全:平衡風險與回報》報告,提出 5 個核心問題,幫助高階管理者釐清 AI 部署與資安之間的平衡。

這 5 個問題包含:企業是否已設定明確的風險容忍度,且所有風險負責人都已理解?當推動 AI 專案時,是否已考量風險與回報之間的平衡?組織內是否已建立有效的流程來追蹤 AI 專案的部署?對於採用 AI 技術,組織是否清楚了解其脆弱性和網路風險?是否已確認所有關鍵利益關係人都參與風險評估與治理?

AI 雖為企業帶來轉型與效率突破的新契機,但從風險評估、技術部署到文化建設來看,企業唯有全方位強化資安韌性,才能在不犧牲安全性的前提下,善用 AI 釋放價值。

立即報名 5/13 「台灣 AI 策略發展高峰會」,聽產業專家解密建立強韌彈性基礎架構以加速 AI 轉型的關鍵

【推薦閱讀】

企業導入 AI 為何須重新思考資安?「5 大情境」解析最常忽略的風險

逾 7 萬組織採用 AI 寫程式工具!Sonatype 產品研發長分析如何管理 4 大風險

美 103 家銀行監管機構 15 萬封機敏 email 遭駭!原因竟是一個帳號沒開 MFA

*本文開放合作夥伴轉載,資料來源:《DARK READING》《Help Net Security》《SC Media》WEFWEF 2CISCOOWASP《The Hacker News》,首圖來源:AI 工具 ChatGPT 生成。

加入『 TechOrange 官方 LINE 好友』 掌握最新科技資訊!

查看原始文章

更多理財相關文章

01

國巨*10天內二度爆鉅額違約交割 13家券商通報金額4131萬元

anue鉅亨網
02

台股叩關5萬點!專家點名「4檔黑馬」:強到2027年

民視新聞網
03

打一場球蒸發2000億?郭台銘爆勾50歲熟女牽動鴻海 富豪情史代價慘痛

鏡報
04

台積電上榜!外媒點名「這3檔神股」崩盤前快買入

民視新聞網
05

國巨*再度翻船 13家券商申報鉅額違約交割4,131萬元

工商時報
06

46萬股民笑了!2檔台股ETF今同步填息

EBC 東森新聞
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...