AI 转型对企业有益无害?理解 ChatGPT 狂潮背后的 资安 威胁

Source: Unsplash
Source: Unsplash

前言

事实上,用于对话的聊天机器人最早可追溯至1960年代,并非推陈出新的技术,为什么 ChatGPT 能仅用 2 个月的时间掳获 1 亿用户?又为什么 JP Morgan等知名企业却拒其于门外呢?本文将会介绍近期火红的 ChatGPT 、随之而来的资安隐忧,以及台湾企业的资安现况,让你避免掉入 AI 狂潮的陷阱。

 

重点概要

ChatGPT 与生成型 AI 是什么?
企业运用 ChatGPT 的益处
AI 数位转型背后的风险
近期台湾企业资安事件

ChatGPT 与生成型 AI 是什么?

ChatGPT 是一款由 Open AI 开发的 AI 模型,特色是其可以自然地跟用户沟通,提供各类主题上的解决方法,常见应用如整理资料、撰写论文或程式编码等。背后的技术可从名字中的 GPT 得到线索,也就是「生成型预训练转换模型」 ( Generative Pre-Trained Transformer, GPT ) ,是利用深度学习训练,进而产生能理解的自然语言模型,为生成型 AI ( Generative AI ) 的一种,广义来说,生成型 AI 泛指能借由机器学习,创造文字、图像、影音等形式作品的技术。

目前 ChatGPT 是基于 GPT 3 技术,相较于过去几代较不流利的回答,GPT 3 能更精准地搜集资料和生成多元文本,例如新闻报导、法条与诗文等;此外,ChatGPT 在 GPT 3 基础上更融合人类反馈强化学习( RLHF ) 技术,推出其前身 InstructGPT,能记忆先前对话、修正错误、回应个人化问题,在对话上更像个真人。

值得注意的是,在 ChatGPT 正式推出的最后一步,开发人员也针对安全考量做出进一步修正。

图片来源:https://lifearchitect.ai/chatgpt/#gpt-3
图片来源:https://lifearchitect.ai/chatgpt/#gpt-3

有兴趣的读者可以去 ChatGPT 使用,更能理解其强大之处。

由于 ChatGPT 的热潮,微软与 Google 相继推出自家品牌的生成型 AI 模型,苹果、AMD 与 Nvidia 也都在近期加速 AI 的投资;另一方面,根据 Resumebuilder 对 1000 家企业的调查,将近一半已经引进 ChatGPT 此类的生成型 AI 模型来优化工作流程,改善传统人工作业的不便后,企业也能创造更高的获利。

 

企业运用 ChatGPT 进行 AI转型的益处

聊天机器人过去在企业的应用已屡见不鲜,如智能客服、智能搜索与自动翻译等基础应用,然而过去多为制式化回复,回答内容相对有限也不人性化;在 近代生成型 AI 帮助下,企业得以更灵活地运用聊天机器人,不仅限于以上应用,品质与客户体验也提升许多。
较著名例子如日企「弁护士ドットコム」,主要业务为提供法律咨询,传统一对一咨询既耗人力又缺乏效率;公司宣布将在近期开放基于 ChatGPT 技术的线上咨询,学习先前高达 100 万件咨询案例,且将不征收任何咨询费用;新 AI 商业模式的问世,也促使公司股价隔天上涨 6 %。

然而, 在 ChatGPT 掀起企业的投资潮与商业模式创新时,知名企业 JP Morgan、Verizon、Walmart 却将其拒之门外,严格禁制员工在工作期间使用如 ChatGPT 类的 AI 模型,皆因在资安的未知隐忧。

 

ChatGPT出世,AI 数位转型背后的资安风险

资诚:近 3 成企业因资料外泄蒙受 100 ~ 2000 万美元财损。

企业担忧不是杞人忧天,即便 ChatGPT 这类 AI 模型都特别表明在资料的安全性,有心人士绕过安全围墙事件仍层出不穷,以下为两种可能因 AI 技术招致的风险,分别从内部与外部探讨:

  1. ChatGPT 最大的特点即在于能够记忆对话的特性,用户若于对话中透漏过性别、生日等隐私资讯,系统第一时间虽强调不会搜集用户隐私,但若再次提及有关生日礼物的问题,ChatGPT 仍会依据透露过的性别和生日给出建议,显示个资并非不被搜集;同样事件当然也发生在企业机密,尤其拥有大量客户资料的那些行业,也是为什么上述公司逆流下达禁令的原因。
  2. 任何有网路的人都可使用 ChatGPT,不仅企业能使用,骇客同时也能利用 ChatGPT 的文本生成撰写大量个别钓鱼邮件或病毒程式,大大降低了骇客的进入障碍,Check Point Research 报告指出已有基于 Python 的文件窃取程式出现,人工智慧攻击服务(AI Attack as a Service)成为骇客入侵企业机密有力助手。

虽尚未有与其直接的资安危机爆发,但在 ChatGPT 商业化,企业 AI 数位转型的趋势已然成形,资安议题将是企业观察关键。台湾上市柜企业表现又是如何?

 

近期台湾企业资安事件

上市柜企业近三年资安事件
上市柜企业近三年资安事件

根据 TEJ TESG 事件雷达统计,近期台企资安事件的发生频率确实显著增加,截至今年 2 月总计发生 5 起资安事件,除常见的网路攻击外,也发生了客户个资外流的严重议题!以下整理近期三件个资外泄事件:

  1. 和泰车:2023 年 1 月底,iRent 共享汽车业务的资料库发生资料外泄,存取管控严重不足,未加密保护和限制不当连线,在复查后仍未改善。因资料库长达 9 个月处于高风险状态,存在大量资料外泄可能。和泰车为珍视会员权益,主动扩大个资风险对象,2月1日完成寄发电子邮件通知并提供时数补偿。
  2. 华航:2023 农历年前,华航传出收到勒赎邮件后,数天后有人在国外论坛张贴华航会员资料,由于外泄会员名单中包含副总统赖清德、台积电创办人张忠谋、艺人林志玲等名人,引发不小关注,其张贴个资内容包含生日、电子邮件与手机,并且还有华航会员编号,在采取防御措施后,华航公告仍有 5 千多笔资料遭撷取。
  3. 雄狮:2022 年 11 月,雄狮旅游发生诈骗事件,不法人士假冒雄狮旅游员工、饭店员工、银行或信用卡客服人员,以订单错误、重复扣款、特殊优惠等理由向消费者诈骗。其中,不法人士的诈骗工具为近半年的订单资讯,包括顾客姓名、电话、商品订单内容。尽管公司并未直接说明顾客订单资料外泄,此次诈骗事件也引起客户对企业个资保护上的质疑。

AI 技术进一步加速数位转型,资安事件也未停歇。而由于多数企业并未详细揭露后续影响,近六成仅以「骇客 / 网路攻击」概括。因此,企业资安揭露仍需更进一步的透明化。在下一篇文章中,也会告诉你如何从「资安证书」中来看企业在资安的投入。

 

延伸阅读

哪里可以获得更多资讯

台湾财经资料库 (TEJ TAIWAN DB ) → TESG 永续发展解决方案 → TESG 事件雷达
透过TESG事件雷达资料库,即时关注企业近期的资安议题,有效把关并监控事件最新动态。

透过 TESG 雷达获取最新企业资安消息

如果各位读者对于本文、TEJ 资料库有任何问题,或是想进一步获取关于 TEJ 资料库的操作权限,欢迎留言、来电或来信询问。

 

返回总览页