眼見不再為憑 別讓生成式AI成為資安風險缺口
台灣要迎向AI時代,不能只追求速度,更要守住安全與信任,圖為輝達AI高階筆電。攝影董孟航

眼見不再為憑 別讓生成式AI成為資安風險缺口

Google 設為偏好來源
Facebook 分享
蘇緯政/實踐大學財務金融學系商事法講師
生成式AI正快速改寫生活與產業,從會議紀錄、即時翻譯、簡報整理、程式撰寫輔助,到客服回覆、影音生成、個人化學習與醫療影像輔助判讀等,都能提升效率。對企業而言,它可降低成本,加速知識管理;對個人而言,它猶如隨身助理,協助搜尋與創作。然而,便利愈大,破口也可能愈深。當文字、聲音、臉孔與身分都能被擬真偽造或冒用,「有圖有真相」、「聽聲辨人」的信任基礎正鬆動,深偽詐騙、語音冒充、隱私外洩與假訊息散布,已成為新興的資安治理議題。
2024年,香港曾發生深偽視訊詐騙,員工誤信假冒主管與同事的AI影像,依指示15次轉帳,損失約2億港元;2025年,新加坡跨國企業也遭遇類似詐騙,財務主管匯出逾49.9萬美元,所幸新加坡與香港警方跨境合作,及時扣留並追回款項。台灣亦曾有詐騙集團以AI深偽財經名人的影像與聲音誘導民眾入群;檢警另查獲系統商協助境外詐欺機房製作臉部驗證影片,盜取存款,初估55人受害、損失約新臺幣2億元。過去的詐騙可從錯字、怪網址或粗糙圖片看出破綻,如今AI能生成自然語句、擬真影像與熟悉聲音,使詐騙更趨客製化、規模化與產業化,令人防不勝防。
此外,駭客可快速產生多種語言、語句流暢且貼近情境的釣魚郵件,結合合成語音與社群資料進行精準社交工程攻擊。企業若將客戶資料、合約、財報、研發文件或程式碼輸入外部生成式AI工具,可能因平台留存、第三方串接、供應鏈漏洞或權限設定不當而外洩。駭客也可能利用提示注入、資料投毒等手法,導致敏感資訊外洩、輸出遭操控或系統誤執行指令;而AI代理人系統若被授予過高權限,則可能讓AI客服越權回覆,或讓自動化流程誤執行高風險指令。
面對這場數位防禦戰,政府、企業與個人應共築資安韌性。政府應以《人工智慧基本法》為基礎,落實AI資安與風險治理,並可參考歐盟《人工智慧法》(EU AI Act)、ISO/IEC 42001:2023等規範,對高風險應用要求風險管理、合規評估、資料治理、紀錄保存、透明揭露、人為監督與事故通報,必要時導入第三方評估。針對AI生成的假廣告與投資詐騙,應強化平台責任、快速下架、金流追蹤與跨境聯防;關鍵基礎設施及金融、醫療、教育系統,應定期進行AI攻防演練,將語音核身、視訊授權與自動化決策納入稽核。
企業則應將AI納入董事會治理與內控制度,而非任由員工自行摸索。企業內部應明定可使用工具、可輸入資料、禁止事項與核准流程,落實資料分級、最小權限、零信任、多因子驗證與雙人覆核。凡涉及付款、權限變更、供應商資料或機密文件傳輸,不能只憑電話、郵件或視訊確認。倘若不幸發生資安事件,事後必須儘速修補漏洞、檢討流程並更新應變手冊。
個人則應養成查證習慣,尤其涉及金流、帳號密碼或身分確認時,務必改以已知聯絡電話、預先約定的通關語或第二管道查證,隨時提高資安警覺。此外,學校教育應重視AI素養的提升,不只教學生如何撰寫提示詞,更要教資料保護、來源查證、深偽辨識、引用規範、演算法偏誤與數位倫理。換言之,不只要會用AI,更要會懷疑AI、查證AI,並理解使用AI後仍須由「人」承擔判斷與責任。
若政府有規範、企業有治理、平台有把關、個人有警覺、教育有素養,AI就能成為提升效率與創新的工具。台灣要迎向AI時代,不能只追求速度,更要守住安全與信任。讓AI成為推動產業升級、社會韌性與民主防衛的力量,而非便利背後的資安風險缺口。

★《鏡報》徵文/《鏡報》歡迎各界投書,來文請寄至:editor@mirrordaily.news,並請附上真實姓名(使用筆名請另外註明),職稱與聯絡電話。來文48小時內若未收到刊登通知,請另投他處。

訂閱《鏡報》論壇電子報

每週3次,將最新的《鏡報》論壇好文章送到您的信箱

延伸閱讀

promote-topic 關閉按鈕