文/劉虹君
一部分的企業搭上AI風潮,採用AI結合產品應用在公司內部,例如企劃部門,行銷人員使用文字生成器撰寫文案,使其能瞬間產生行銷活動的粗略草稿,此舉可能會導致資料外洩、資料滲透與競爭情報威脅,帶來資安風險並衍生相關客戶或公關議題。
又例如應用在IT和開發部門,程式設計師使用大型語言模型(LLM)尋找程式碼錯誤,並自動生成文件。這會導致資料滲透、資料外洩與資料完整性威脅,產生的文件可能冒險曝露公司正規不揭露的重要系統細節。另外也會帶來程式碼安全性、資料篡改、勒索軟體與IP竊取問題。可能風險則是未依循SDLC資安實作的不安全程式碼、違反智慧財產權許可要求的程式碼,或生成式AI遭勒索產物系統危害。
生成式AI最可能的商業使用案例很多著眼於內部營運,這也敦促資安領導者不要忽視供應商與第三方風險的因子。「有鑑於大部份企業組織發現生成式AI已整合在佈署的產品與服務上,資安領導者的當務之急就是第三方風險管理。」
AI相關產品的供應商除了提供該產品和服務解決方案外,應保障其解決方案的安全性。資安單位必須依相關使用資安風險案例為基礎,編制自有的一套供應商安全性與風險管理的提問,審慎評估。
