ChatGPT、AI技術如雙面刃,4大安全隱患中小企要注意!
2023年03月27日
ChatGPT一推出即成全城話題,大小企業都紛紛討論如何利用 AI 科技增加營運效益,小至撰寫日常電郵,大至系統程式都可交給 AI 處理,而且科技公司接連投入大量資金發展,AI 與數據的應用將會越來越普遍。
雖然大眾對 AI 的可能性抱有很大期望,但美國一家網絡安全公司早前就指出:「AI 可被視為『雙刃劍』,網絡用戶可用 AI 驅動的安全工具和產品應付大量網絡安全事件。不過,業餘黑客也可利用同樣的技術開發智能惡意軟件程式發動攻擊。」而香港電腦保安事故協調中心(HKCERT)* 早前發佈刊物亦就 AI 應用提醒使用者在使用 AI 時暗藏安全風險。中小企若希望運用 AI 科技,就需要注意以下事項:
1. 駭客也在用 AI:對抗性干擾及釣魚內容
雖然網絡保安專家可以利用 AI 偵測網絡安全攻擊,但駭客同樣都會訓練 AI 進行干擾,發動攻擊。在拉斯維加斯舉行的 Black Hat and Defcon 安全大會上,一個技術團隊展示了 AI 在製作釣魚郵件和魚叉式釣魚資訊時是如何超越人類。研究人員將 OpenAI的 GPT-3與其他的 AI 即服務 (AI-as-a-service) 產品結合,開發了一個在攻擊目標前能對郵件進行梳理和完善的流程的平台。這個平台甚至能自動提供具體內容,例如當被要求製作針對特定國家的人的內容時能提到該國的法律。中小企如受攻擊將會很難單憑內容辨別釣魚訊息,令駭客入侵機會大增。因此中小企應從網絡安全著手,從頭開始攔截惡意軟件或釣魚鏈接。
2. 私隱隨時成 AI 數據,中小企保密要留神
AI 進行訓練時會用到大量訊息,當中可能包括不少公司敏感資訊,如員工個人資料、公司財務狀況等。根據《HKT 香港企業網絡保安準備指數 2022》報告指出,近半中小企會於公司系統儲存公司敏感資訊,近三成更包括公司管理層及員工個人資料,資料若流入 AI 訓練內容,隨時引發私隱問題,生成敏感信息。
3. 多源核查 AI 訊息
中小企或已有計劃利用 AI 工具製作內容,唯 HKCERT指出 AI 製作的訊息有可能會有誤導性。若中小企倚賴AI製作內容,有誤的資料有機會影響公司信譽。
以手機程式 Poe 上的 ChatGPT為例,若果將其當成搜尋器使用,詢問資料性和時事性較強的問題,會較容易出現錯誤。
4. AI 內容引起版權問題
AI 成為市場焦點後亦引來不少版權爭議,當中包括商業圖庫 GettyImages、開發者平台 GitHub 等都先後指控 AI 公司侵犯版權。由於每個 AI 機械人都必需經過訓練才能製作內容,而訓練用的材料有機會影響 AI 的「作品」。因此 HKCERT亦有提及聊天機械人所製作的內容,有機會涉及受版權保護的資料。若中小企利用 AI 製作營銷內容,必先核實資料,否則有機會負上相關法律責任。
AI 實質為一個中性工具,唯駭客定必尋找漏洞,用來進行詐騙活動。根據 HKCERT數據,單單以ChatGPT為名的假冒和惡意程式至今已超過50個,因此在運用新科技的同時,中小企亦不能忽視自身的網絡安全是否足以應付層出不窮的駭客攻擊。