人工智慧(AI)即將成為大多數數位基礎設施與應用中的核心要素,為其增添一層具附加價值的智慧能力。隨著這種趨勢,AI將在自動化複雜任務與支援關鍵決策方面扮演越來越重要的角色。因此,解決AI的安全與信任挑戰,是負責任地採用AI的關鍵前提。實際上,如果人類無法信任AI的運作方式,那麼這些系統就無法被廣泛採用。
AI系統屬於更廣義的數位系統範疇,這些系統必須具備強健的網路資安能力,才能達成穩定且可信賴的運作。然而,AI系統同時也帶來一系列獨特的安全與信任挑戰,包括:
結構與運作複雜:
與傳統軟體不同,AI模型本身非常複雜,且經常以「黑箱」方式運作,使其決策過程變得不透明。舉例來說,許多基於大型語言模型(例如ChatGPT)的應用,其輸出結果與資料推論過程,對使用者來說難以理解或解釋。這種缺乏透明度的特性,在醫療或自駕車等高風險應用場景中風險尤為顯著。此外,若使用者無法完全理解或審查AI系統,信任就無從建立,也因此成為推廣障礙。
資料保護問題:
AI系統仰賴龐大的資料庫進行訓練與操作,而這種高度依賴使其面臨資料外洩、未授權存取與資料投毒等安全風險。由於這些漏洞,惡意攻擊者可能操控訓練資料庫,以干擾或破壞AI輸出結果。因此,保障資料庫的完整性與安全性是一項極具挑戰的任務。
決策倫理疑慮:
許多AI系統因訓練資料本身存在偏見而產生偏頗的運作方式,導致不公平甚至歧視性結果。同時,AI所作決策往往缺乏問責機制,例如當自動化系統出錯時,究竟由誰負責尚不明確。這類問題可能導致公眾對AI科技的信任徹底崩潰。
鑑於上述挑戰,建立AI安全與信任的穩固框架是當務之急。這類框架應促進AI的可解釋性與可理解性,以提升透明度,同時應透過先進的加密技術與安全資料共享協議,確保資料安全。此外,更重要的是,要推動具備公平性、問責性與包容性等明確指引的倫理標準,以減少偏見並強化社會對AI的信心。這類框架的建立需要多方利害關係人共同參與,包括政策制定者、技術專家與產業領袖,一起制定能兼顧道德責任與創新推進的解決方案。
AI特有的風險因素與緩解方案
AI系統所面臨的安全挑戰中,有許多是AI特有的資安風險。這些風險必須被現代資安政策納入應對。這些風險包括:
對抗性攻擊(例如規避攻擊):
這類攻擊透過操控輸入資料來欺騙AI模型,導致其產出錯誤結果或破壞模型完整性。例如,攻擊者可能對圖像或文字進行些微改動,使AI系統產生誤判。此類攻擊可能嚴重影響自駕車或醫療診斷等關鍵應用的可靠性。
資料投毒(Data Poisoning):
投毒攻擊發生在AI模型的訓練階段。攻擊者會在訓練資料庫中注入惡意資料,破壞模型的學習過程,導致偏頗或有害的結果,進而在像是貸款審核這類決策中產生錯誤建議。
模型竊取與逆向工程:
專有AI模型可能遭受未授權存取或被進行逆向工程。攻擊者透過分析輸入與輸出的模式來複製模型,造成智慧財產的流失與盜用。
隱私洩露:
許多AI系統需處理敏感資料,因此容易成為資料外洩的目標。例如,像是「成員推論攻擊」等對抗行動,讓攻擊者能判斷特定資料是否被用來訓練模型,進而直接侵犯使用者隱私。
AI強化的網路攻擊:
現在的網路犯罪者越來越常利用AI技術擴大與最佳化攻擊規模,例如釣魚信、勒索軟體或阻斷服務(DoS)攻擊。近年來,生成式AI工具提升了這些攻擊的精密度,因為它能模擬人類行為並產出逼真的假內容。舉例來說,駭客現在可在暗網取得如FraudGPT與WormGPT等工具,藉此透過暗網發動攻擊。
所幸,AI供應商與安全專家已有多項有效解決方案,可用來緩解AI安全風險。這些解決方案包括:
對抗性防禦機制:
這類機制依賴對抗性訓練流程,在模型開發階段將其暴露於具欺騙性的輸入資料中。此外,也可以使用異常偵測演算法與輸入驗證檢查,來識別並緩解對抗性攻擊行為。
資料保護措施:
可透過對靜態資料與傳輸中資料進行加密,來確保資料的完整性。在這方面,AI供應商與安全解決方案提供者可採用差分隱私技術,將資料庫匿名化,同時保留其訓練實用性。
強健的模型安全性:
為了確保AI模型的穩定性與可靠性,安全專家可採取存取控制、安全部署流程與定期更新等技術。他們也可以進行滲透測試與漏洞評估,以主動發現安全弱點。
持續監控:
另一項安全措施是部署即時監控工具,以偵測AI系統中的異常行為。在這方面,AI開發人員與部署人員必須定期進行稽核,以確保符合安全標準,並持續最佳化模型表現。
AI驅動的資安工具:
AI不僅帶來新的資安風險,同時也是強大的安全控制工具。特別是,可以運用AI技術進行威脅偵測。AI通常被整合到傳統以資料為導向的資安工具中,例如資訊安全事件管理系統(SIEM),以強化其威脅偵測與風險緩解能力。
AI的邊緣運算部署:
近年來,AI模型與系統多被部署於邊緣端(即邊緣AI系統),而非傳統雲端架構。例如,TinyML系統被安裝在物聯網裝置中。邊緣AI系統能減少資料傳輸至遠端資料中心的需求,進而顯著降低攻擊面。這對於減少漏洞與資料外洩風險具有關鍵作用。實際應用案例如醫療場域中的智慧攝影系統,可在裝置本地進行影像與場景辨識處理,將敏感資料保留於本地,避免傳輸至第三方處理,進而實現本質上更安全的系統。
基於硬體的安全方案
儘管許多AI安全解決方案著重於軟體層級的保護,硬體層級的安全功能提供了關鍵的基礎防禦,對於保護AI系統相當重要。現代處理器架構內建多種關鍵安全技術,可協助保障AI工作負載。
記憶體安全技術:
記憶體安全問題約占所有重大資訊安全漏洞的70%,包括AI應用。為解決此問題,先進的處理器架構(如Armv9)導入記憶體標籤擴充(MTE),可動態識別空間與時間上的記憶體安全問題。這項技術對處理大量資料與複雜模型架構的AI系統尤為重要。例如,Google已在Android中採用Arm MTE,並承諾將其擴展至整個Android生態系,為數百萬計的AI裝置提供強化的安全性。
安全虛擬化:
隨著AI工作負載越來越常在虛擬化環境中運行,保護資料的機密性與完整性變得十分重要。作為Arm機密運算架構基礎的機密領域管理擴充(Realm Management Extensions),可提供硬體強制隔離,保護在虛擬機中執行的資料免受在虛擬機管理程式被入侵的風險。此技術對於訓練進階機器學習模型的資料中心特別重要,因為多個用戶可能共用運算資源。同樣的技術也能保護邊緣運算系統中部署的ML模型。
防止程式碼重用攻擊:
現代AI系統面臨的複雜攻擊中,常見透過重用現有程式碼以進行惡意行為。像是Arm指標認證(PAC)與分支目標識別(BTI)等技術,能有效防範如返回導向程式設計(ROP)與跳躍導向程式設計(JOP)等程式碼重用攻擊。這些防護措施在高效能應用處理器與IoT微控制器中皆已部署且特別重要,因為攻擊者日益使用AI工具開發更精密的攻擊手段。
標準化安全框架:
除了個別的安全功能外,由產業主導的安全框架(如PSA Certified)提供全面的裝置安全策略。該框架建立了安全最佳實踐與認證流程,有助於確保AI裝置從晶片層級就符合高強度的安全標準。藉由遵循這些標準,製造商可展示其對安全的承諾,同時向使用者提供可驗證的安全保證。
這些基於硬體的安全解決方案補足了軟體層級的保護,共同建立AI系統的完整安全架構。隨著AI工作負載日益普及於各種運算環境中,硬體安全的角色在保護AI模型與敏感資料方面變得愈加關鍵。
應用中的資料風險與解方
如前所述,AI系統需要大量且高品質的資料庫才能正確、有效率的運作。在許多情況下,這些資料庫包含個人或敏感資訊,因此帶來重大的風險。例如,敏感資料(如健康紀錄或財務資訊)可能在儲存、傳輸或處理過程中被揭露,導致隱私外洩與潛在濫用。整體而言,AI系統在保護資料方面面臨幾項關鍵挑戰:
資料外洩:
大型資料庫是網路攻擊的熱門目標。未經授權的存取可能洩露個人資訊,進而導致身分盜用或金融詐騙。
缺乏透明度:
在許多情況下,AI使用者缺乏關於資料如何被收集、儲存與使用的資訊與清楚說明。
偏誤與濫用:
不當的資料處理可能加劇偏見或導致歧視性結果,這對於實現倫理性的AI部署是重大阻礙。
以下技術、策略與措施可用於解決上述資料保護挑戰:
加密技術:
AI供應商與系統開發商提供進階資料加密方法,以防範資料外洩。例如,同態加密(homomorphic encryption)允許在不解密的情況下對加密資料進行運算,提升了隱私與保護力;差分隱私技術則透過對資料庫加入統計雜訊,以在保留分析效果的同時保護個人身分。
安全多方運算(SMPC):
SMPC是一種新型的技術,允許在不暴露原始資料的情況下進行協同模型訓練。在此方法中,各方皆在本地處理加密輸入,確保敏感資訊不被揭露。
法規遵循:
AI應用需遵守資料保護法規,以保障隱私。例如歐盟的《一般資料保護規則(GDPR)》可確保資料的收集、處理與儲存符合倫理原則。AI資料處理者與部署者可採行資料最小化、匿名化,以及執行資料保護影響評估(DPIA)以符合相關法律。
打造可信賴的AI
AI系統面臨重大的可信度挑戰,這些挑戰通常源自其缺乏透明性、容易產生偏誤,以及難以驗證其輸出結果的可靠性。這些問題在高風險應用中尤為關鍵,例如醫療、金融與刑事司法領域。具體而言,AI信賴度的主要挑戰包括:
AI黑箱效應:
許多AI系統運作如同「黑箱」,也就是其決策過程對使用者而言既不清楚也不透明。在某些情況下,即便是系統開發人員也無法完全理解模型的決策邏輯。這種可解釋性不足使人難以理解模型如何得出某一結論,進而削弱了問責性與信任感。例如,一個用於醫療篩檢的AI系統可能會建議某種診斷結果,卻無法解釋其判斷依據。
演算法偏誤:
偏誤是AI中普遍存在的問題,往往源自偏斜或侷限的訓練資料。這可能導致歧視性結果,例如對特定族群拒絕貸款或不公平的錄用決策。即使有試圖減少偏誤的措施,現實世界資料的複雜性與對「公平性」定義的差異仍可能讓偏誤持續存在。
可靠性驗證困難:
確保AI系統輸出的穩定性與可靠性並不容易。模型在測試階段可能表現良好,但在現實場景中因為預期外變數或資料偏移而失準。這種不可預測性削弱了使用者信心,也對AI系統的穩健性產生質疑。
目前可採用下列措施與技術來維護AI系統的可信度:
從硬體層級開始的安全設計(Security by Design):
此方法從處理器架構與晶片層級即納入安全考量,而非於部署後再補強。舉例來說,硬體層級的安全功能可強化對記憶體漏洞的防護、保護AI工作負載在虛擬環境中的執行,以及防止高階程式碼操控攻擊。
可解釋AI(XAI):
XAI是AI領域的一個研究方向,目的在使AI模型的運作與輸出對使用者而言更透明、可理解。例如,SHAP(SHapley Additive exPlanations)與LIME(Local Interpretable Model-agnostic Explanations)等技術,目前已被廣泛用於說明機器學習模型的內部運作。另有對照(Counterfactual)技術,可提供「如果⋯會如何」的分析,幫助理解輸入如何影響輸出,進一步增強對AI的信任。
偏誤偵測與緩解:
可以在AI資料準備與模型訓練階段主動處理偏誤問題,包括使用考量公平性的演算法、多元資料來源,以及定期審查。組織也應遵循如歐盟《AI法案》這類標準與規範,該法案明確要求進行偏誤偵測與緩解措施,特別針對敏感AI應用。
嚴格測試與驗證:
在各種不同場景下進行系統化測試,有助於驗證AI系統的可靠性。這包括在不同條件下對模型進行壓力測試、監控其隨時間的效能漂移,並執行獨立審查以確保符合倫理準則。
獨立安全認證:
這類框架對於驗證安全措施是否落實至關重要。它們提供結構化的評估流程,根據既定安全要求測試產品,並透過第三方驗證安全聲明來建立信任,確保符合法規與最新安全標準。
為了評估AI系統的安全性與可信度,組織需要一套能處理其主要弱點與倫理議題的穩健評估指標。這些指標有助於確保系統具備可靠性、公平性,並在需要時維護隱私。這些評估工具提供了一個框架,用以評估AI模型在不同條件下的表現以及其對倫理標準的遵循程度。
以下是目前最常用的AI安全與信任評估指標:
因應對抗性攻擊的強健性(Robustness Against Adversarial Attacks):
此指標衡量AI模型抵抗惡意輸入(用以誤導模型)的能力。相關評估指標包括:
(i)攻擊成功率(Attack Success Rate);
(ii)強健半徑(Robustness Radius),即模型可容忍的最大擾動範圍;
(iii)對抗樣本準確率(Adversarial Accuracy),即模型對於被攻擊樣本仍能正確預測的比例。高分代表模型不易受操控,對於金融或醫療等高安全需求領域尤其重要。
資料中毒的抵抗力(Resilience to Data Poisoning):
評估當訓練資料遭到篡改時,模型是否仍可維持效能。指標包括攻擊下的準確度下降程度與中毒樣本的偵測率。具備強大防禦機制(如異常檢測、強健訓練)者,在面對惡意資料時效能損失極小。
可解釋性指標(Interpretability Scores):
許多XAI(可解釋AI)指標衡量模型決策對人類是否可理解。在多數情況下,這些指標會與使用者滿意度一同評估,觀察AI解釋的易用性與親和力。
公平性指標(Fairness Metrics):
如人口統計平等(Demographic Parity)與機會均等(Equal Opportunity)等指標,用以判斷模型是否公平對待所有族群。這些指標有助於識別並緩解偏見,確保模型不會延續歧視性行為。
差分隱私保證(Differential Privacy Guarantees):
衡量資料庫中每筆個人資料的隱私風險,包含「隱私預算」(Privacy Budget)參數,用來在隱私與效用之間取得平衡。隱私預算越小,表示隱私保護越強。
資料洩漏風險評估(Data Leakage Risk Assessments):
評估模型輸出或訓練資料是否可能洩露敏感資訊,確保私密資料在使用期間仍維持安全。
AI帶來多重挑戰 有效治理刻不容緩
整體而言,AI系統的供應商與部署者必須正面迎擊安全、信任與隱私等挑戰。隨著AI系統愈來愈深入社會關鍵層面,確保其韌性、公平性與倫理使用變得極為重要。這對於建立公眾信任、並最大化AI效益相當重要。
在實際運作環境中解決AI安全與信任問題,跨領域合作扮演關鍵角色。技術人員需與政策制定者、倫理學者與產業領袖攜手合作,建立兼顧創新與問責的強健框架。同時,也需持續推進各項安全技術(如XAI、隱私保護技術與公平性演算法),以因應不斷演變的威脅與社會期望。
這些價值觀必須融入AI系統的設計、實作與治理過程中,以確保新興AI技術能成為促進善意與正向發展的力量。未來的AI應致力於協助個人、驅動創新並解決全球挑戰,同時堅守倫理準則。這條路需要集體努力,但值得信賴且安全的AI所帶來的回報絕對值得這份投資。
(本文作者為英國格拉斯哥大學榮譽研究員)
