Source:Unsplash
事實上,用於對話的聊天機器人最早可追溯至 1960 年代,並非推陳出新的技術,為什麼 ChatGPT 能僅用 2 個月的時間擄獲 1 億用戶?又為什麼 JP Morgan等知名企業卻拒其於門外呢?本文將會介紹近期火紅的 ChatGPT 、隨之而來的資安隱憂,以及臺灣企業的資安現況,讓你避免掉入 AI 狂潮的陷阱。
ChatGPT 與生成型 AI 是什麼?
ChatGPT 是一款由 Open AI 開發的 AI 模型,特色是其可以自然地跟用戶溝通,提供各類主題上的解決方法,常見應用如整理資料、撰寫論文或程式編碼等。背後的技術可從名字中的 GPT 得到線索,也就是「生成型預訓練轉換模型」 ( Generative Pre-Trained Transformer, GPT ) ,是利用深度學習訓練,進而產生能理解的自然語言模型,為生成型 AI ( Generative AI ) 的一種,廣義來說,生成型 AI 泛指能藉由機器學習,創造文字、圖像、影音等形式作品的技術。
目前 ChatGPT 是基於 GPT 3 技術,相較於過去幾代較不流利的回答,GPT 3 能更精準地蒐集資料和產生多元文本,例如新聞報導、法條與詩文等;此外,ChatGPT 在 GPT 3 基礎上更融合人類反饋強化學習( RLHF ) 技術,推出其前身 InstructGPT,能記憶先前對話、修正錯誤、回應個人化問題,在對話上更像個真人。
值得注意的是,在 ChatGPT 正式推出的最後一步,開發人員也針對安全考量做出進一步修正。
圖片來源:https://lifearchitect.ai/chatgpt/#gpt- 3
有興趣的讀者可以去 ChatGPT 使用,更能理解其強大之處。
由於 ChatGPT 的熱潮,微軟(Microsoft, MSFT-US)與 Google 相繼推出自家品牌的生成型 AI 模型,蘋果(Apple, AAPL-US)、AMD(Advanced Micro Devices, AMD-US) 與 Nvidia 也都在近期加速 AI 的投資;另一方面,根據 Resumebuilder 對 1000 家企業的調查,將近一半已經引進 ChatGPT 此類的生成型 AI 模型來優化工作流程,改善傳統人工作業的不便後,企業也能創造更高的獲利。
企業運用 ChatGPT 進行 AI 轉型的益處
聊天機器人過去在企業的應用已屢見不鮮,如智能客服、智能搜尋與自動翻譯等基礎應用,然而過去多為制式化回覆,回答內容相對有限也不人性化;在近代生成型 AI 幫助下,企業得以更靈活地運用聊天機器人,不僅限於以上應用,品質與客戶體驗也提升許多。
較著名例子如日企「弁護士ドットコム」,主要業務為提供法律諮詢,傳統一對一諮詢既耗人力又缺乏效率;公司宣布將在近期開放基於 ChatGPT 技術的線上諮詢,學習先前高達 100 萬件諮詢案例,且將不徵收任何諮詢費用;新 AI 商業模式的問世,也促使公司股價隔天上漲 6 %。
然而, 在 ChatGPT 掀起企業的投資潮與商業模式創新時,知名企業 JP Morgan、Verizon、Walmart 卻將其拒之門外,嚴格禁制員工在工作期間使用如 ChatGPT 類的 AI 模型,皆因在資安的未知隱憂。
ChatGPT 出世,AI 數位轉型背後的資安風險
資誠:近 3 成企業因資料外洩蒙受 100 ~ 2000 萬美元財損。
企業擔憂不是杞人憂天,即便 ChatGPT 這類 AI 模型都特別表明在資料的安全性,有心人士繞過安全圍牆事件仍層出不窮,以下為兩種可能因 AI 技術招致的風險,分別從內部與外部探討:
- ChatGPT 最大的特點即在於能夠記憶對話的特性,用戶若於對話中透漏過性別、生日等隱私資訊,系統第一時間雖強調不會蒐集用戶隱私,但若再次提及有關生日禮物的問題,ChatGPT 仍會依據透露過的性別和生日給出建議,顯示個資並非不被蒐集;同樣事件當然也發生在企業機密,尤其擁有大量客戶資料的那些產業,也是為什麼上述公司逆流下達禁令的原因。
- 任何有網路的人都可使用 ChatGPT,不僅企業能使用,駭客同時也能利用 ChatGPT 的文本產生撰寫大量個別釣魚郵件或病毒程式,大大降低了駭客的進入障礙,Check Point Research 報告指出已有基於 Python 的文件竊取程式出現,人工智慧攻擊服務(AI Attack as a Service)成為駭客入侵企業機密有力助手。
雖尚未有與其直接的資安危機爆發,但在 ChatGPT 商業化,企業 AI 數位轉型的趨勢已然成形,資安議題將是企業觀察關鍵。臺灣上市櫃企業表現又是如何?
近期臺灣企業資安事件
▲上市櫃企業近三年資安事件
根據 TEJ TESG 事件雷達統計,近期臺企資安事件的發生頻率確實顯著增加,截至今年 2 月總計發生 5 起資安事件,除常見的網路攻擊外,也發生了客戶個資外流的嚴重議題!以下整理近期三件個資外洩事件:
- 和泰車( 2207-TW ): 2023 年 1 月底,iRent 共享汽車業務的資料庫發生資料外洩,存取管控嚴重不足,未加密保護和限制不當連線,在複查後仍未改善。因資料庫長達 9 個月處於高風險狀態,存在大量資料外洩可能。和泰車為珍視會員權益,主動擴大個資風險對象, 2 月 1 日完成寄發電子郵件通知並提供時數補償。
- 華航( 2610-TW ): 2023 農曆年前,華航傳出收到勒贖郵件後,數天後有人在國外論壇張貼華航會員資料,由於外洩會員名單中包含副總統賴清德、台積電( 2330-TW )創辦人張忠謀、藝人林志玲等名人,引發不小關注,其張貼個資內容包含生日、電子郵件與手機,並且還有華航會員編號,在採取防禦措施後,華航公告仍有 5 千多筆資料遭擷取。
- 雄獅( 2731-TW ): 2022 年 11 月,雄獅旅遊發生詐騙事件,不法人士假冒雄獅旅遊員工、飯店員工、銀行或信用卡客服人員,以訂單錯誤、重複扣款、特殊優惠等理由向消費者詐騙。其中,不法人士的詐騙工具為近半年的訂單資訊,包括顧客姓名、電話、商品訂單內容。儘管公司並未直接說明顧客訂單資料外洩,此次詐騙事件也引起客戶對企業個資保護上的質疑。
AI 技術進一步加速數位轉型,資安事件也未停歇。而由於多數企業並未詳細揭露後續影響,近六成僅以「駭客 / 網路攻擊」概括。因此,企業資安揭露仍需更進一步的透明化。在下一篇文章中,也會告訴你如何從「資安證書」中來看企業在資安的投入。
《TEJ》授權轉載
【延伸閱讀】