「你知道公司內部用了多少 AI 工具嗎?」資安新創Harmonic揭露影子AI危機
- Hao Chen Lu
- 2025年6月23日
- 讀畢需時 4 分鐘
Source: TWCERT/CC台灣電腦網路危機處理暨協調中心
top of page
搜尋
隨著生成式人工智慧(GenAI)在企業內部的應用迅速擴展,資安團隊面臨前所未有的挑戰。 企業除了滿足業務部門加快採用AI工具的需求外,更需嚴格控管隨之而來的資安風險,尤其是敏感資料外洩與合規問題。 目前企業常見的AI風險包括: 機密資料被納入其他公司模型訓練中 資料流向地緣政治敏感地區 員工使用未經授權的AI應用程式 近期案例顯示,一家銀行內部員工使用超過50種未經批准的AI工具,僅有2種獲得公司授權;另一家科技公司工程師甚至將400GB資料上傳至未授權平台。 更有新進員工在完成資安訓練後,將原始碼上傳至中國所屬大型語言模型平台。 企業目前嘗試多種控管措施,但仍面臨挑戰: 制定AI使用政策:多數公司已有AI使用政策,但員工閱讀率低,更有趣的是,有些政策本身是用ChatGPT所撰寫,實效有限。 成立AI指導委員會:形式上看似完整但缺乏可視性,難以有效監督。 資料分類管理:利用Microsoft Purview等工具進行資料標記與分類,但在大規模環境中實施困難。 統一AI工具平台:約70%企業推行統一平台(如Microsoft Copilot、Google Gemini),但員工常繞過限制,造成資安與業務部門對立。 放任模式 (YOLO Mode):約30%企業僅封鎖高風險工具,對其採取「眼不見為淨」的策略。 Harmonic Security 執行長 Alastair Paterson 建議企業應從「禁止」走向「安全引導使用」,並提出三大核心建議: 瀏覽器端的即時監控:透過瀏覽器擴充套件,即時偵測使用者在AI工具中輸入的提示詞(Prompt)與上傳的附件(如Excel、PDF),有效掌握風險內容。 多樣化的模型管控與策略:針對不同敏感資料類型,導入經微調的開源模型(如LLaMA、Mixtral),在成本可控下提升偵測準確度。 可視化儀表板與行為分析:建立全方位儀表板,協助資安團隊掌握 AI 工具使用狀況,進行風險評估與異常行為分析。 圖1:視覺化範例。 圖片來源:Harmonic Security的展示影片 隨著生成式AI工具持續深入企業日常營運,資安團隊必須從傳統的防堵思維轉型為前瞻性風險治理。 唯有結合即時監控、彈性策略與可視化分析,企業才能在追求創新效率的同時,有效控管潛藏的資安威脅,保障企業資訊安全的合規。
隨著生成式人工智慧(GenAI)在企業內部的應用迅速擴展,資安團隊面臨前所未有的挑戰。 企業除了滿足業務部門加快採用AI工具的需求外,更需嚴格控管隨之而來的資安風險,尤其是敏感資料外洩與合規問題。 目前企業常見的AI風險包括: 機密資料被納入其他公司模型訓練中 資料流向地緣政治敏感地區 員工使用未經授權的AI應用程式 近期案例顯示,一家銀行內部員工使用超過50種未經批准的AI工具,僅有2種獲得公司授權;另一家科技公司工程師甚至將400GB資料上傳至未授權平台。 更有新進員工在完成資安訓練後,將原始碼上傳至中國所屬大型語言模型平台。 企業目前嘗試多種控管措施,但仍面臨挑戰: 制定AI使用政策:多數公司已有AI使用政策,但員工閱讀率低,更有趣的是,有些政策本身是用ChatGPT所撰寫,實效有限。 成立AI指導委員會:形式上看似完整但缺乏可視性,難以有效監督。 資料分類管理:利用Microsoft Purview等工具進行資料標記與分類,但在大規模環境中實施困難。 統一AI工具平台:約70%企業推行統一平台(如Microsoft Copilot、Google Gemini),但員工常繞過限制,造成資安與業務部門對立。 放任模式 (YOLO Mode):約30%企業僅封鎖高風險工具,對其採取「眼不見為淨」的策略。 Harmonic Security 執行長 Alastair Paterson 建議企業應從「禁止」走向「安全引導使用」,並提出三大核心建議: 瀏覽器端的即時監控:透過瀏覽器擴充套件,即時偵測使用者在AI工具中輸入的提示詞(Prompt)與上傳的附件(如Excel、PDF),有效掌握風險內容。 多樣化的模型管控與策略:針對不同敏感資料類型,導入經微調的開源模型(如LLaMA、Mixtral),在成本可控下提升偵測準確度。 可視化儀表板與行為分析:建立全方位儀表板,協助資安團隊掌握 AI 工具使用狀況,進行風險評估與異常行為分析。 圖1:視覺化範例。 圖片來源:Harmonic Security的展示影片 隨著生成式AI工具持續深入企業日常營運,資安團隊必須從傳統的防堵思維轉型為前瞻性風險治理。 唯有結合即時監控、彈性策略與可視化分析,企業才能在追求創新效率的同時,有效控管潛藏的資安威脅,保障企業資訊安全的合規。 See more: https://www.twcert.org.tw/tw/cp-104-10193-5e9b3-1.html
最新文章
查看全部Source: IThome新聞 資安業者Wiz研究團隊揭露名為CodeBreach的供應鏈風險,指出AWS管理的4個開源GitHub儲存庫,因專案層級的自動化建置觸發條件設定疏漏,存在外部人士可觸發建置並進一步取得儲存庫管理權限的可能性。 AWS表示接獲通報後已完成修補並輪替相關憑證,檢視建置紀錄與CloudTrail稽核紀錄後未發現遭濫用,且不影響客戶環境與AWS服務,AWS也強調這是各專案設
Source: IThome新聞 IBM發表新軟體基礎IBM Sovereign Core,主打雲端主權與AI工作負載支援的平臺軟體,目的是讓企業、政府與服務供應商能在既有基礎架構與平臺投資上,加速建置並營運符合主權要求的AI環境。 IBM規畫在2026年2月開始提供技術預覽版,並在2026年年中正式上線。 See more: https://www.ithome.com.tw/news/173
Source: IThome新聞 重點新聞(0109~0115) See more: https://www.ithome.com.tw/news/173420
bottom of page
留言