當企業搶著導入AI客服和智慧助理,這些看似便利的AI系統正面臨前所未有的資安威脅,像是AI客服要求撰寫程式,導致運算資源被大量消耗、駭客透過提示詞注入,誘騙AI洩露企業機密等。為回應產業需求,財團法人資訊工業策進會資安科技研究所(資策會資安所)洞察AI帶來的高度風險,自主研發多款AI安全解決方案,以「AI安全指引」、「AI安全弱掃」與「AI安全防護」三大面向,從開發、測試到營運階段為企業把關AI安全,協助企業辨識AI風險、補強弱點並符合法規要求,建構AI信任度與市場競爭力。
資策會資安所邱育賢副主任提到,隨著產業導入AI應用日益增加,加上主管機關對AI安全的監管日益嚴格,AI安全不僅是企業的風險管理議題,更牽動臺灣產業的整體升級,在產業積極導入AI強化營運效率與創新服務的同時,如何確保資料與服務安全,已成為企業導入AI時的重要課題。
多數企業開發AI時,不確定要注意哪些安全事項,資策會資安所依循國內外標準與規範,提供給企業一套「AI安全指引」,包含安全開發指引、安全使用規範、安全檢核表等,協助企業完成內稽內控與法遵佐證,如同蓋房子要按照建築法規施工,企業也能按圖索驥,確保AI從設計階段就具備安全基因。
當AI開發後進入測試階段時,「AI安全弱掃工具」能模擬駭客的攻擊演練,讓企業了解可能的安全風險,資策會資安所提供符合OWASP LLM的十大風險安全弱掃服務,模擬駭客的攻擊手法,測試AI能否抵擋如提示詞注入、無限制消耗等AI獨特威脅,後續企業會拿到一份詳細的「AI安全弱掃報告」,除了可作為漏洞修補依據,亦可提供給合作夥伴、主管機關或稽核單位,作為法遵佐證資料。
當企業AI工具上線後,資策會「AI安全防護工具」系統也提供24小時監控的智慧保全服務,能於AI工具上線後,自動攔截可疑的輸入內容,如試圖詢問犯罪手法、信用卡號等敏感資料。所有對話都會留下紀錄,管理者可以透過儀表板隨時查看違規次數、風險等級和異常比例。特別的是,考量到金融、醫療等產業對資料保護的嚴格要求,這套監管工具也提供離線版本,讓企業不用擔心資料外洩問題。
資策會資安所已成功協助多家資服業者與其企業客戶,從安全指引、弱點掃描與監管防護,加速掌握AI安全技術並強化服務韌性,補足企業在AI導入過程之薄弱環節。為落實與民興利精神,資策會將持續跟進產業需求,透過技術創新與產業合作,促進AI安全從「選配」變成「標配」,協助更多產業建立AI安全基石,打造可信賴的AI應用環境,協助企業逐步實現AI安全化目標。
圖說:資策會研發「AI安全弱掃與防護工具」從開發、測試到營運階段為企業把關AI安全,協助企業安心導入AI。
