隨著近年生成式人工智慧技術（AI）的快速發展，此一技術已被外界稱為「資安雙面刃」，且這把「刃」也已砍向了企業端。

由於 AI 具備自動化的特性，因而讓這項技術被網路犯罪分子積極利用，駭客攻擊工具的開發與部署速度因此大幅提升，也讓過去既有的犯罪手法變得更加棘手。像是：

• 智慧型網路釣魚（Phishing）：AI 能生成個性化的釣魚郵件，根據目標的行為和數據量身打造，提高攻擊的成功率。
• 自動化漏洞掃描：AI 可以快速分析大規模系統，識別未修補的漏洞，並立即執行攻擊。
• 惡意程式設計：AI 能生成多變且難以檢測的惡意程式，使傳統的病毒掃描工具變得不堪一擊。

深偽技術

另外，AI 的蓬勃發展也讓深偽技術（Deepfake）詐騙崛起，深偽技術讓駭客能夠生成以假亂真的影像或聲音，對企業的運作構成重大威脅；駭客可透過 AI 技術來為假冒成企業高層，向員工發出指令（例如匯款），或是製作出虛假的影片、聲音檔案，釋出不實消息來打擊企業的形象等。

讓企業需要更擔心的是，深偽技術的門檻也隨著技術的精進而更加降低，任何人都能使用公開的 AI 工具製造假影像或聲音，企業面臨的風險因此倍增。

AI 介入下供應鏈攻擊頻繁

供應鏈攻擊一直都是企業資安的痛點，然而在 AI 的介入下將會讓這一類的攻擊手法變得更加針對且頻繁。主要原因在於：

• AI 可分析供應鏈中的薄弱環節，發現安全措施較差的合作夥伴。
• 自動模擬供應商的合法活動，隱蔽地滲透企業網絡。
• AI 也會針對特定企業進行高價值攻擊，透過供應鏈來間接攻擊主目標。

AI 惡意軟體

在生成式 AI 的熱潮推動下，許多人都注意到大型語言模型的價值，且許多企業都稱想要打造屬於自家的大型語言模型。不過關於語言模型這部分，駭客可能跟你想的不一樣。

資安廠商趨勢科技注意到，現在有些攻擊者會將一個小型語言模型植入目標端點設備，並將其偽裝為系統更新進行下載。這款程式表面上看起來像是一個獨立的聊天機器人，但實際上是惡意軟體。它結合了當前資訊竊取工具的反偵測技術，同時具備數據分析能力，可以根據攻擊者的目標，篩選符合需求的內容。

這一類的 AI 惡意軟體能夠讀取受害者的電子郵件、PDF 文件、瀏覽記錄等，並僅回傳具有高價值的資訊，讓攻擊者可在不被察覺的情況下實現其目標。

如何防範？

在 AI 這把「資安雙面刃」砍向企業之際，許多企業主必定想問「該如何防範 AI 資安危機？」針對這一點，趨勢科技建議，為了減輕惡意 AI 帶來的風險，至關重要的是對所有 AI 系統進行配置、監控並限制其功能，確保它們的行為符合預期目標與政策。包括：

• 限制 AI 的功能與訪問範圍：確保 AI 系統無法越權操作或訪問未經授權的數據。
• 實施異常行為檢測：建立實時監控機制，快速響應 AI 系統中的異常活動。

• 提升系統韌性：對可能被植入惡意 AI 的端點設備加強防護，定期檢查軟體更新的真實性。

對於企業應用來說，AI 的快速應用可能讓企業專注於效率提升，而忽略了安全性的重要性。然而，資安風險一旦發生，不僅會對企業財務造成損害，還會影響聲譽，甚至中斷業務運營。企業需要將資安視為效率提升的基石，在技術應用的同時，將安全性納入業務的核心價值觀。

企業主除了要注重數據的安全性外，也要關注「AI 模型安全」，因為 AI 模型也可能遭受攻擊，像是模型中毒或對抗樣本攻擊，建議企業應該要定期檢查模型的輸入數據，防止不良數據污染模型；部署監控系統，及時發現模型的異常行為；且應該要為高風險的應用增加人類監控（Human-in-the-loop）。

除此之外，上述不斷強調 AI 是把資安雙面刃，企業主雖然擔心 AI 帶來的資安危機，但其實也是可借助生成式 AI 增強資安能力，像是利用 AI 來即時分析大量網路流量，快速偵測潛在威脅，並透過機器學習來了解正常行為模式，發現異常活動；並導入自動化響應機制，一旦檢測到安全事件，AI 能夠迅速作出響應，減少人為延遲。

最重要的是，企業也應該投資員工的資安培訓，定期舉行資安演習，模擬常見攻擊場景，提高應對能力；鼓勵員工報告潛在威脅，建立內部資安監控文化。

（首圖來源：shutterstock）

文章看完覺得有幫助，何不給我們一個鼓勵