生成式AI引爆資安危機 蠕蟲自動化、資料下毒風險疑慮漸升

生成式AI崛起，帶來各式各樣的新興應用，隨之而來的資安風險也持續發酵。趨勢科技年度報告指出，生成式AI的出現將成為駭客攻擊的新武器，包含蠕蟲（cloud-native worms）自動化、資料下毒的風險也都會與之俱增。

網路資安領導廠商趨勢科技今（11）日公布2024年資安年度預測報告，指出在新興科技「生成式AI」與「區塊鏈」滲透人類生活下，及「企業上雲」與「產業供應鏈緊密」的現代商業樣貌裡，駭客將利用傳統手法結合新型態攻擊持續進化，同時示警企業和個人須隨時保持最佳資安視野、仰賴值得信任的前瞻威脅情報並提前規劃防禦策略，以掌握瞬息萬變的資安戰線。

趨勢科技台灣區總經理洪偉淦指出，2023年ChatGPT等生成式AI技術的出現讓人們對於AI應用有了更多想像。這些能帶來轉型動能的突破性技術，不僅成為企業競爭的基本籌碼，也成為駭客攻擊的新型武器。然而，傳統攻擊未因此消失，駭客集團反而借力新技術來優化自身營運模式，提升攻擊速度與力道，擴大資安事件衝擊。預期來年全球整體資安環境的風險與壓力都將增強，無論個人或企業都需要具備並強化資安意識和審慎評估對應方法。

其中，蠕蟲具備自動化大量攻擊漏洞的能力，將很可能成為2024駭客集團的首選武器，用以執行各式各樣的任務。駭客集團只需成功攻擊一個漏洞，就能在雲端環境內迅速蔓延，並利用已感染的雲端原生工具攻擊更多受害者，造成的危害包括：自動化收集企業機敏資料、建立龐大的幕後操縱（C&C）伺服器通訊，甚至發動大規模分散式阻斷服務（DDos）攻擊。

趨勢科技談到，生成式AI提升個人與企業營運生產力，卻也為駭客帶來助力。駭客使用生成式AI精進社交工程詐騙（例如：變臉詐騙、魚叉式網路釣魚、網路捕鯨等）、生成更具吸引力的釣餌，提高得手機會。預期2024年駭客將透過結合不同的AI工具（如聊天機器人和偽造語音）製造出如虛擬綁架此類多重面向的威脅。

根據FBI報告指出，運用社交工程技巧的網路犯罪是受害者數量最多的犯罪、也是最賺錢的手法之一。未來，此類犯罪手法將不以量取勝，而以更逼真的手法進行勒索。

同時，大型語言模型（LLM）遭遇「資料下毒（data poisoning）」也將成為新興威脅，駭客集團除了透過竄改學習資料操弄機器學習（ML）的表現與行為之外，還可以入侵模型的資料儲存或流程架構之中，可能導致自然語言處理模型洩漏機密資料，系統受污染無法正常偵測非法活動。

生成式AI在商業利益與資安威脅之間形成雙面刃，妥善運用能提升企業數位競爭力，卻也需關注其所帶來新型態威脅的偵測及回應方法，確保從端點至雲端的安全。

趨勢科技核心技術部資深協理張裕敏表示，不論是個人或企業皆需審慎評估科技躍進所帶來的利與弊，方能「安全地」享受創新所帶來的益處。除此之外，我們建議企業應導入零信任策略於每個風險生命週期內，採用整合式資安平台來管理日漸增多的工作負載與防禦措施，並持續強化供應鏈安全，有效的資安風險管理及防禦策略方能提升營運韌性。

更多鏡週刊報導
台智雲AI算力助攻 樂迦再生布局再生醫療產業再添利器
【電子業大啖生技財6】與廣達一較高下 華碩AI內視鏡偵測系統力拚國內龍頭
搶攻車用智慧顯示器網絡安全商機 群創子公司爭得先機