重點整理:
1. 在這個人工智慧迅速發展的時代,我們如何應對AI可能帶來的威脅?本文將探討AI的安全問題、數據治理,以及如何建立有效的員工使用政策
一窩瘋狂的人工智能—好像我們不得不談談
你知道的,我們今天的主題,就跟那些出沒在電影院,電視上的科幻小說一樣讓人著迷——對,我們要來談談人工智能。這部分的科技進步,就好像是你身邊的老二口子突然變成了花樣少年少女,讓你一時之間無法接受這個事實,又不禁對這個新鮮事物感到好奇。好,我們先不聊老二口子變成花樣少年少女這個好萊塢級的劇情,我們要聊的是現在這個在科技世界中,讓人無法忽視的熱點—人工智能。你準備好要進入這個充滿科技魔力的世界了嗎?讓我們一起探索吧!
人工智能:帶來無限可能的「魔法師」
你或許會問,人工智能到底是什麼?別急,讓我用最接地氣的方式來跟你解釋一下。你可以把人工智能想像成是個魔法師,這個魔法師擁有神奇的能力,可以從繁雜的資料中,找到一條通往寶藏的路。簡單來說,人工智能就是一種模仿人類智能的技術,讓機器有了像人一樣的思考和學習的能力,讓我們能夠把更多的事情交給機器來完成,從而為我們的生活帶來更多的便利。
人工智能的「好」與「壞」
好了,話說回來,人工智能不只有好處,也有可能帶來一些問題。跟你分享一個近期的新聞,有一些有識之士寫了一封公開信,指出人工智能可能會導致「不正確的資訊(幻覺)」和「隨意的抄襲」的問題。當然,人工智能的開發者正在努力去解決這些問題,但是在這個全新的領域裡,我們難以分辨誰是好演員,誰又是壞演員。這就像你在台灣夜市的遊戲攤位,你難以分辨哪個是真的有機會讓你抓到大獎,哪個則是看起來好像有機會,其實只是做做樣子的。
人工智能的「不可解」威脅:提示注入攻擊
現在,我們要談一談最恐怖的威脅:網站通過人工智能工具盜取資料。這種情況第一次在Twitter上曝光。要是這讓你摸不著頭腦,讓我來用「披薩術語」來解釋一下。這種提示注入攻擊被認為是無法解決的,因為它利用了LLM(長期記憶模型)的性質。簡單來說,LLM需要根據輸入的內容來做出下一步的決定。但如果這些輸入有惡意,那麼LLM可能會被欺騙,做出它明明被告知不應該做的事情。
人工智能的安全威脅與防護
這個新出現的威脅對於資料管控和安全來說可能會有重大影響,但現在還無法完全評估。總的來說,無論個別的LLM、插件或擴充功能如何負責任或安全,威脅都存在。好像我們在玩一種「兩面刃」的遊戲,這種遊戲的風險足夠大,讓我們不得不警覺。因此,唯一真正安全的選擇是:千萬不要將與網路相連的AI連結到關鍵服務或資料來源。
為員工訂立AI政策
說實在的,AI的革命一夜之間就發生了,我們都還在適應這個全新的世界。每天,我們都在學習這種技術的應用:好的、壞的,還有那些讓人皺眉的。如果你是負責訂立公司AI政策的人,你不能再等待了,必須立即訂立明確的指導方針,告訴員工如何使用這些工具。
員工AI使用的管理方式
當然,你可以選擇不同的方式來管理員工的AI使用。你可以像蘋果一樣完全禁止它,但對許多公司來說,全面禁止可能過於極端。許多公司希望鼓勵員工嘗試AI,因此,如何在保持創新的同時確保安全就變得相當重要。尤其是對於瀏覽器插件來說,這一點尤為重要,因為瀏覽器插件通常默認為開啟狀態,並且面向外部。
資訊安全教育與控管
話說回來,當你面對一群剛孵出來的小恐龍時,你會怎麼做?雖然AI擴充功能看起來很可愛,但必須小心對待,就像剛從蛋殼中孵出來的小恐龍一樣。首先,我們需要從教育開始。大多數員工可能不清楚這些工具帶來的安全風險,因此他們不知道下載哪些工具以及分享哪些數據需要謹慎。教育你的員工,讓他們明白這些風險,並教導他們如何區分惡意產品和合法產品。
白名單控管
即使有了教育,也不能指望每個員工在下載前都能深入研究擴充功能的隱私政策。有鑑於此,最安全的選擇可能是根據個案設定白名單。就像我們在我們的部落格中提到的,你應該嘗試尋找更安全的工具作為危險工具的替代品,因為一味地禁止可能會傷害到員工,並驅使他們走向暗影IT(在公司IT部門不知情的情況下使用未經授權的技術資源)。在這種情況下,尋找那些明確承諾不會將你的數據餵入他們模型的產品。
提高警覺度與零信任存取
如果你不知道員工正在使用哪些AI擴充功能,你就無法採取任何措施來保護你的公司免受AI擴充功能的安全風險。為了瞭解這一點,IT團隊需要能夠查詢整個公司的設備,檢測這些擴充功能。然後,下一步是自動阻止帶有危險擴充功能的設備存取公司資源。
開啟對話,創建更安全的工作環境
這些對話可能會很尷尬,特別是如果你正在偵測和阻止使用者已經安裝的擴充功能。我們的CEO, Jason Meller,在Dark Reading上寫過關於消除惡意擴充功能的文化困難:"對於許多團隊來說,幫助終端使用者的好處並不值得冒險搖動已經搖搖欲墜的蘋果車。"但不願與終端使用者進行對話創造了一個滋生惡意軟體的溫床:"由於太少的安全團隊與終端使用者建立了基於信任的穩固關係,惡意軟體作者可以利用這種沉默,深入其中,並造成實質的損害。
因此,我們必須開始進行這些對話,並嘗試找出公司如何為員工提供更安全的替代方案。我們必須認識到,我們不能僅僅依靠阻擋擴充功能來保護公司,而是需要與員工開展對話,瞭解他們為什麼覺得需要這些工具,並尋找如何為他們提供更安全的替代方案。
大家要知道,保護公司免受AI帶來的威脅,我們必須同時保持開放與創新的精神。讓我們都更加尊重數據,並將這種尊重內化在我們的行為和日常決策中,並努力將其轉化為實際的行動,保護我們的個人資訊和公司數據。
這就像我們平衡生活中的其他許多事情一樣,不是簡單的一刀切。我們要有耐心,不斷學習,並適應新的變化。畢竟,這是我們生活中的一部分,是我們前進的動力。最後,不要忘了,無論我們如何使用AI,我們都必須確保其不會侵犯到我們的個人空間,也不會損害到我們的數據安全。
