AI 轉型將掀起企業資安隱憂?理解 ChatGPT 背後的資安威脅

Source: Unsplash
Source: Unsplash

前言

事實上,用於對話的聊天機器人最早可追溯至 1960 年代,並非推陳出新的技術,為什麼 ChatGPT 能僅用 2 個月的時間擄獲 1 億用戶?又為什麼 JP Morgan 等知名企業卻拒其於門外呢?本文將會介紹近期火紅的 ChatGPT 、隨之而來的資安隱憂,以及臺灣企業的資安現況,讓你避免掉入 AI 狂潮的陷阱。

ChatGPT 與生成型 AI 是什麼?

ChatGPT 是一款由 Open AI 開發的 AI 模型,特色是其可以自然地跟用戶溝通,提供各類主題上的解決方法,常見應用如整理資料、撰寫論文或程式編碼等。背後的技術可從名字中的 GPT 得到線索,也就是「生成型預訓練轉換模型」 ( Generative Pre-Trained Transformer, GPT ) ,是利用深度學習訓練,進而產生能理解的自然語言模型,為生成型 AI ( Generative AI ) 的一種,廣義來說,生成型 AI 泛指能藉由機器學習,創造文字、圖像、影音等形式作品的技術。

目前 ChatGPT 是基於 GPT 3 技術,相較於過去幾代較不流利的回答,GPT 3 能更精準地蒐集資料和生成多元文本,例如新聞報導、法條與詩文等;此外,ChatGPT 在 GPT 3 基礎上更融合人類反饋強化學習( RLHF ) 技術,推出其前身 InstructGPT,能記憶先前對話、修正錯誤、回應個人化問題,在對話上更像個真人。

值得注意的是,在 ChatGPT 正式推出的最後一步,開發人員也針對安全考量做出進一步修正。

圖片來源:https://lifearchitect.ai/chatgpt/#gpt-3
圖片來源:https://lifearchitect.ai/chatgpt/#gpt-3

有興趣的讀者可以去 ChatGPT 使用,更能理解其強大之處。

由於 ChatGPT 的熱潮,微軟與 Google 相繼推出自家品牌的生成型 AI 模型,蘋果、AMD 與 Nvidia 也都在近期加速 AI 的投資;另一方面,根據 Resumebuilder 對 1000 家企業的 調查,將近一半已經引進 ChatGPT 此類的生成型 AI 模型來優化工作流程,改善傳統人工作業的不便後,企業也能創造更高的獲利。

企業運用 ChatGPT 進行 AI轉型的益處

聊天機器人過去在企業的應用已屢見不鮮,如智能客服、智能搜索與自動翻譯等基礎應用,然而過去多為制式化回覆,回答內容相對有限也不人性化;在 近代生成型 AI 幫助下,企業得以更靈活地運用聊天機器人,不僅限於以上應用,品質與客戶體驗也提升許多。
較著名例子如日企「弁護士ドットコム」,主要業務為提供法律諮詢,傳統一對一諮詢既耗人力又缺乏效率;公司宣布將在近期開放基於 ChatGPT 技術的線上諮詢,學習先前高達 100 萬件諮詢案例,且將不徵收任何諮詢費用;新 AI 商業模式的問世,也促使公司股價隔天上漲 6 %。

然而, 在 ChatGPT 掀起企業的投資潮與商業模式創新時,知名企業 JP Morgan、Verizon、Walmart 卻將其拒之門外,嚴格禁制員工在工作期間使用如 ChatGPT 類的 AI 模型,皆因在資安的未知隱憂。

ChatGPT出世,AI 數位轉型背後的資安風險

資誠:近 3 成企業因資料外洩蒙受 100 ~ 2000 萬美元財損。

企業擔憂不是杞人憂天,即便 ChatGPT 這類 AI 模型都特別表明在資料的安全性,有心人士繞過安全圍牆事件仍層出不窮,以下為兩種可能因 AI 技術招致的風險,分別從內部與外部探討:

AI轉型的內部風險

  • ChatGPT 最大的特點即在於能夠記憶對話的特性,用戶若於對話中透漏過性別、生日等隱私資訊,系統第一時間雖強調不會蒐集用戶隱私,但若再次提及有關生日禮物的問題,ChatGPT 仍會依據透露過的性別和生日給出建議,顯示個資並非不被蒐集;同樣事件當然也發生在企業機密,尤其擁有大量客戶資料的那些行業,也是為什麼上述公司逆流下達禁令的原因。

AI轉型的外部風險

  • 任何有網路的人都可使用 ChatGPT,不僅企業能使用,駭客同時也能利用 ChatGPT 的文本生成撰寫大量個別釣魚郵件或病毒程式,大大降低了駭客的進入障礙,Check Point Research 報告指出已有基於 Python 的文件竊取程式出現,人工智慧攻擊服務(AI Attack as a Service)成為駭客入侵企業機密有力助手。

雖尚未有與其直接的資安危機爆發,但在 ChatGPT 商業化,企業 AI 數位轉型的趨勢已然成形,資安議題將是企業觀察關鍵。那臺灣上市櫃企業呢?今年以來是否有發生過資安議題?

近期臺灣企業資安事件

AI轉型:上市櫃企業近三年資安事件
上市櫃企業近三年資安事件。資料來源:TESG 事件雷達、自行整理

根據 TEJ TESG 事件雷達統計,近期臺企資安事件的發生頻率確實顯著增加,截至今年 2 月總計發生 5 起資安事件,除常見的網路攻擊外,也發生了客戶個資外流的嚴重議題!以下整理近期三件個資外洩事件:

  1. 和泰車:2023 年 1 月底,iRent 共享汽車業務的資料庫發生資料外洩,存取管控嚴重不足,未加密保護和限制不當連線,在複查後仍未改善。因資料庫長達 9 個月處於高風險狀態,存在大量資料外洩可能。和泰車為珍視會員權益,主動擴大個資風險對象,2月1日完成寄發電子郵件通知並提供時數補償。
  2. 華航:2023 農曆年前,華航傳出收到勒贖郵件後,數天後有人在國外論壇張貼華航會員資料,由於外洩會員名單中包含副總統賴清德、台積電創辦人張忠謀、藝人林志玲等名人,引發不小關注,其張貼個資內容包含生日、電子郵件與手機,並且還有華航會員編號,在採取防禦措施後,華航公告仍有 5 千多筆資料遭擷取。
  3. 雄獅:2022 年 11 月,雄獅旅遊發生詐騙事件,不法人士假冒雄獅旅遊員工、飯店員工、銀行或信用卡客服人員,以訂單錯誤、重複扣款、特殊優惠等理由向消費者詐騙。其中,不法人士的詐騙工具為近半年的訂單資訊,包括顧客姓名、電話、商品訂單內容。儘管公司並未直接說明顧客訂單資料外洩,此次詐騙事件也引起客戶對企業個資保護上的質疑。

AI 技術進一步加速數位轉型,資安事件也未停歇。而由於多數企業並未詳細揭露後續影響,近六成僅以「駭客 / 網路攻擊」概括。因此,企業資安揭露仍需更進一步的透明化。在 下一篇文章 中,我們也將告訴你如何從「資安證書」中來看企業在資安的投入。

延伸閱讀

資安議題不僅是個危機,該如何從資安隱憂中找尋投資機會?

哪裡可以獲得更多資訊

台灣財經資料庫 (TEJ TAIWAN DB ) → TESG 永續發展解決方案 → TESG 事件雷達
透過TESG事件雷達資料庫,即時關注企業近期的資安議題,有效把關並監控事件最新動態。

透過 TESG 雷達獲取最新企業資安消息

如果各位讀者對於本文、TEJ 資料庫有任何問題,或是想進一步獲取關於 TEJ 資料庫的操作權限,歡迎留言、來電或來信詢問。


返回總覽頁