在全球供應鏈中扮演關鍵角色的半導體產業,隨著數位複雜性與高度互連性不斷加深,正面臨前所未有的資安挑戰。這些挑戰橫跨傳統的資訊技術(IT)與營運技術(OT)環境,更深入到軟體與硬體的每個層面,形塑出從實體(Physical)到數位(Digital)全面延伸的威脅表面。
人工智慧(AI)在此浪潮中扮演著雙面刃角色,一方面成為主動式防禦與威脅預測的重要工具,另一方面也衍生出新型態的資安風險。為了回應這股變革,SEMICON Taiwan 2025「半導體資安趨勢高峰論壇」,以「從實體、數位到AI:塑造主動式風險管理」為主題,邀集來自Cisco、奧義智慧科技、台達集團、DEVCORE、鴻海、工研院資訊與通訊研究所、PEER Group、TXOne Networks、玉山銀行等全球半導體與資安領域的專家與產業領袖 ,深入探討如何駕馭AI的力量。論壇聚焦於智慧風險識別、即時應變與投資回報評估,為建構更具韌性的半導體生態系描繪藍圖。
資安文藝復興 以主動式思維重塑供應鏈韌性
在開場演講中,鴻海科技集團資安長暨鴻海研究院執行長李維斌博士,以「AI與資安的交會」為題,提出深具啟發性的觀點。他認為,AI正在重塑產業運作與供應鏈管理,而資安則是引導企業安全航行的羅盤。兩者相遇的瞬間既充滿機遇,也隱含混沌,這正是他所稱的「資安文藝復興」。
李維斌形容,AI的應用就像哥倫布發現新大陸,帶來希望卻暗藏風險。若缺乏嚴謹的準備與風險治理,企業不僅難以駕馭AI的價值,反而可能墜入混亂。他引用馬克吐溫的名言「歷史不會重演,但會押韻」提醒,過去資安事故常由人為疏失引發,如點擊惡意連結或使用弱密碼,而在AI開始具備自主決策能力後,錯誤可能轉移到機器,並以更快速度與更廣範圍擴散。因此,如何同時建立對人與機器的信任,已成為資安治理的核心課題。
在談到供應鏈安全的根基時,李維斌提出「三加三」的治理架構。第一個三是資安領域熟知的CIA三原則:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability);另一個三則是新時代必須強化的三項要求:安全設計(Security by Design)、安全預設(Security by Default)、安全需求(Security by Demand)。他強調,資安不應僅在事件發生後補洞,更應從系統設計之初融入,並在每一次部署與商業決策中優先考量安全,而不是為了方便或效率而犧牲防護。
駕馭AI幻覺風險 五層防護建構可信賴金融聊天機器人
在金融業加速擁抱數位創新的進程中,玉山銀行智能金融處總工程師黃仕鎮博士,分享了具體的AI應用實戰經驗。玉山銀行自2018年成立「智能金融處」以來,持續推動預測式與生成式AI研究,並於2023年開始建構自有大型語言模型(LLM)平台,最終在2024年推出「房貸諮詢」與「投資理財」兩大聊天機器人,成為台灣金融業在LLM應用的重要里程碑。
黃博士坦言,生成式AI最大的挑戰並非系統穩定性,而是內容生成的不可控性,特別是模型的「幻覺」與錯誤引用所帶來的法律與信任風險。為了化解這些問題,玉山銀行建立了一套「五層防護」策略:從客戶身分驗證、關鍵字過濾與資料外洩防護(DLP)機制著手,進一步引入Google Model Armor檢測與自訂Prompt意圖檢查,防堵模型被惡意引導;在核心則採用商用級LLM並以系統提示強化控制;最後於輸出端進行多層檢核,並在引用外部資料時明確附上免責聲明。這套嚴謹的流程顯示,導入AI並非單純的技術突破,而是一場全面性的資安治理升級。
在信任與創新之間 AI與量子時代的資安新挑戰
工研院資訊與通訊研究所副所長黃維中博士則進一步指出,全球半導體與資安產業的難題,並非單純追求創新,而是如何在「信任」與「創新」之間找到平衡。他強調,AI、量子科技與數位信任將共同形塑下一世代的數位社會,而「信任」是否能成為支撐創新的基石,將決定新時代的方向。
他提醒,傳統密碼與一次性密碼(OTP)早在2015年就被證實能被釣魚工具繞過,安全性不足;而公鑰基礎建設(PKI)雖仍是安全架構核心,但一旦量子電腦成熟,現行加密演算法將面臨失效危機,因此後量子密碼學(PQC)的推動迫在眉睫。同時,在AI風險治理上,ISO已推出AI治理框架ISO/IEC 42001,但導入成本高昂,未必所有企業都能承擔,因此他呼籲建立更具彈性、分級化的產業專屬評估模型。
黃博士進一步指出,AI風險評估需涵蓋資料來源安全、隱私保護、對抗性攻擊防禦、AI代理(Agentic AI)的潛在風險,以及實體AI(如機器人)的安全疑慮。他警告,駭客已將AI工具化並商品化,從勒索軟體即服務、釣魚即服務,到更進階的「駭客即服務」,攻擊速度與規模不斷擴張。唯有企業能善用AI,並比攻擊者更快、更有效,才有可能在這場賽局中占得先機。
