AI應用越趨廣泛,可以問診、撰寫簡歷,甚至處理客戶資料,但暴露私隱的風險同樣增加。微軟香港區域科技長許遵發接受《星島頭條》專訪時表示,企業員工自帶AI工具日益普遍,增加企業受非法網絡攻擊的風險,在使用AI工具時,須避免上載敏感信息。他又指,不少科技巨頭已實施「漏洞賞金計劃」,鼓勵白帽黑客找出系統漏洞,在惡意利用前先行修補,獎金甚至高達數十萬美元。
坊間AI工具標準參差不齊
現時不少員工為減少工作量,紛紛尋求AI工具協助。根據微軟《2024年工作趨勢指數》報告指出,香港有86%企業員工會使用自己的AI工具。不過,許遵發表示,使用企業外部的AI可能會帶來嚴重的資料安全風險,因為市面上存在成千上萬種AI工具,背後供應商身份不明,安全標準參差不齊,員工使用這些工具時,可能無意中將客戶資料、機密文件,甚至個人敏感訊息上傳至不安全的平台,「當這類不可靠的平台擁有了這些資料,很難預料他們會用於甚麼途徑」。
用戶應謹慎披露個人資料
為了維護企業數據安全及自身私隱,許遵發建議,除了使用值得信任的AI工具外,使用時首先應謹慎披露個人資料,包括避免上傳含有個人識別信息的文件,例如完整的簡歷,更不要分享敏感的財務數據和身份資料。另外,亦可花時間閱讀使用協議和隱私政策,了解數據如何被收集、處理和儲存。他更指出,大多數AI提供選項讓用戶決定是否允許數據用於模型訓練,若用戶有私隱方面的擔憂,應選擇不同意。
找出漏洞可獲25萬美元獎勵
除了用戶自身提高保護私隱的意識外,企業層面亦需及時發現並修補漏洞。許遵發表示,在數字安全領域,「漏洞賞金計劃」(Bug Bounty Program)已成科企預防系統漏洞的重要手段,「我們永遠面臨的挑戰是未知威脅,透過計劃,希望在黑客發現漏洞之前先一步修補系統」。
企業通過提供獎金,公開邀請安全研究員或白帽黑客來尋找潛在漏洞。參與者一旦發現新的安全弱點,企業便會根據漏洞的嚴重程度,提供相應的現金獎勵,金額從數百美元至數十萬美元不等。例如,微軟會邀請全球研究人員找出軟件開發過程中遺漏的漏洞,並與微軟團隊分享,符合資格的投稿可獲最高25萬美元的獎勵。
他又稱,尚未被公開的系統弱點極具危險性,企業通過計劃在惡意攻擊者發現並利用漏洞前先行修補,可大幅降低潛在損失。因此,Google、蘋果等科技巨頭多年來亦積極實施此類計劃,並取得顯著成效,「這不僅是預防性安全措施,更讓安全專家與企業形成互利共贏的關係」。
官方AI平台自動標記敏感信息
有AI企業培訓師在培訓員工時發現,不少人對防範暴露個人資訊的意識還十分薄弱,甚至會怪罪AI偷取了他們的個人信息。許遵發認為,此類員工要提高日常防範意識,例如不回覆存疑的信息、不點擊奇怪的連結,以及不在可疑的網絡平台上填寫個人信息等。不過,有關風險僅限於使用不安全、不正規的AI工具,而正規官方的AI平台則不太可能出現偷取個人信息的情況。
事實上,企業級AI服務供應商如微軟等,早已推出較完善的保護措施。許遵發指出,當用戶與AI對話時,AI系統能自動辨識敏感信息,譬如身份證號碼、信用卡資料、地址及個人姓名等,毋須人工干預,即可標記為敏感內容。
相關內容一旦被標記為「機密(Confidential)」,系統會跟蹤其流動軌跡,不同內容還會提供不同級別的保密標籤,控制誰能查看、編輯或分享文件。即使內容被分享,安全標籤亦會跟隨,保持保護狀態,後台更可設定權限規則,如「僅編輯可見」或「禁止轉發」。他表示,這可防止標記為敏感的內容被上傳至外部,更可建立數據外泄防護屏障,阻止敏感信息離開公司網絡,更能提供事件日誌,記錄所有數據訪問和處理活動。
