回顧過去1年，「AI」相關應用持續引發討論，成為不可忽略的一大關鍵字。在一向擁抱新科技的資安世界裡，AI同樣掀起了軒然大波。

日新月異的生成式AI產品及技術，已被應用在提升資安防護的諸多面向，如大幅降低資安分析員掌握情報所需的時間，或以AI技術為本自動化提高企業掌握情報、偵查、乃至回應的效率。

然而，對於資安攻擊方而言，受益於AI運算的規模化，駭客攻擊的速度、效率、破壞性也早已不可同日而語。舉例而言，駭客撰擬客製化釣魚信件的時間，從以往數小時縮短到數分鐘即可完成，更能長時間自動抓取可用素材、針對數百位以上的目標產出社交工程信件；或是可以大量自動化生成惡意程式與勒索程式，代理撰寫程式碼、自動化協助攻擊，降低了攻擊方形成攻擊的成本，同時能瞄準大規模的目標，使駭客有機會更輕鬆滲透進企業攻擊。未來，生成式AI相關工具或可進一步幫助駭客研究出新手法，開闢出全新的資安戰場。

如今在企業與組織中AI已被大量運用於加快工作任務的效率，但在駭客與有心人士亦積極採用相關技術的當下，筆者認為，企業須掌握兩大關鍵，方可在享受AI帶來的高效率的同時，亦能兼顧資安防護。

首先，企業需要優先盤點機敏資料、核心資產，理解攻擊方的思維，並定期演練防守方的回應及應變能力，以此長期提高資安韌性及體質。

再者，企業在導入AI相關工具或產品時，須反思是否已備齊、擬定好使用者的相關規範，並且對員工進行AI安全教育訓練，以防內部機敏資料被AI工具學習、外洩。實務上可多使用企業版的帳號、API，取代公開給一般大眾的ChatGPT等工具，避免資料外洩、機敏資料被AI學習。

儘管AI在過去1年內發展快速，運用AI的目的不在取代人腦，反倒是讓人們處理只有人腦才能做到的事，以發揮人腦的最大價值。未來，不論是企業資安或是各種場景，只有「會用」AI、並懂得與AI工具「協作」的人，才能輕鬆地跟上這波潮流，取得最大成效。

資料來源：財訊 第702期