AI 軟硬體生態系快速更迭,資訊安全的角色已不再侷限於技術防護,而是涵蓋韌 性建構與信任建立的全面性轉型與創新。這也意謂著:AI時代的資安,攸關全球數位 生態的穩定與持續發展。
AI 驅動資安革新,攻防戰場全面升級
AI 的強大運算與生成能力,為資安領域帶來前所未有的革新;相反的,同時也被 駭客利用成為攻擊利器,擴大既有威脅並催生「新型攻擊向量」。這種「雙面刃效應」 正將資安戰場推向未知前線,且已在攻擊場景中顯現,最突出的三種向量包括:
自動化漏洞發現與利用
- 自動生成 XSS、SSRF payioad,並透過微調語意繞過檢測。
- 使用 GPT 對回應進行模糊語意分析,判斷 WAF 拒絕與正常差異。
權限濫用與橫向移動
- 生成針對 IAM 使用者、API Key 洩漏後的自動權限探索腳本。
- 分析網路流量中隱藏的 API 授權行為。
社交工程新境界
- 結合個資資料,微調語氣與對話節奏,提高信任感與回覆率。
- 模擬內部對話風格,引誘內部員工分享憑證或開啟惡意連結。
AI 重塑資安治理,開啟三大轉型契機
AI 的出現不全然只對資安帶來衝擊,也正重塑傳統資安治理模式,如資產導向、 事件導向、風險管理導向,開啟三大轉型契機:
安全態勢感知強化
利用 ML 模型即時分析異常行為,並確立正常基準線,例如:針對使用者 行為、地點、異常系統活動等,進而有效判斷異常行為。
權限優化與最小化原則
使用AI 分析實際使用的系統資源,回推最小 IAM Policy;同時強化特權 帳號管理,針對特殊權限使用進行控管。
防禦自動化與事件回應
以 LLM 輔助 SOC 團隊理解並回應複雜事件,也能自動分析攻擊鏈,大幅 縮短反應時間。
從技術到治理,打造全 AI 風控信任基石
AI 能於毫秒級時間完成對海量資料、日誌與使用者行為的分析,協助早期偵測 零日攻擊與前所未見的攻擊手法,並自動啟動防護措施。然而,僅依賴 AI技術並不 足以應對所有資安挑戰,真正的挑戰最終歸結為「信任」議題,涵蓋了 AI 系統之公 平性、透明性與可解釋性,以及其對個人、群體與社會之潛在衝擊。
ISO/IEC 42001:建立可信任 AI 的國際治理標準
為此,《ISO/IEC 42001:2023 資訊科技人工智慧-管理系統》應運而生,成為 全球首個 AI 管理系統之國際標準,此一囊括 AI 系統之獨特挑戰,諸如自主決策、數據分析與機器學習、持續學習等特性,提出透明度與可解釋性議題的要求,並引入了 AI 風險評估概念,針對資料品質、模型偏差、隱私侵犯與誤判等面向,奠定 AI 系統 安全與可信的關鍵步驟,助力企業採用系統性方法進行識別、分析並緩解 AI 潛在風險。
要在 AI 時代穩健前行,企業必須具備前瞻性思維並採取行動,將 AI 研發、人才培養與網路安全視為長期戰略投資。構建「負責任 AI」治理體系,積極應對全球 AI 監管法規,從全局視角思考可信性,方能於享受 AI 所帶來之巨大紅利之際,有效管控其風險。
