隨著人工智慧(AI)技術日益普及,其在程式碼生成領域的應用也快速增長,尤其在加密貨幣等新興金融科技領域。然而,這項創新也伴隨著顯著的資安風險,可能導致投資者面臨不可逆的財務損失。
根據Bitget的報導,資安專業人士於2024年指出,高達三分之一的受訪者表示,其組織內超過六成的程式碼是由AI生成。這項趨勢凸顯AI在軟體開發中的關鍵角色。然而,近八成的組織在使用AI驅動的自動化工具時,對於數據的存取權限與去向缺乏透明度,這為資安漏洞埋下隱患。
報導指出,AI系統主要面臨兩大資安威脅:一是「提示注入攻擊」(prompt injection attacks),惡意行為者可能透過操縱AI工具來執行有害動作;二是「資料外洩」,AI系統可能洩露敏感的演算法或憑證。在加密貨幣領域,由於智慧合約涉及資產處理,單一提示遭破壞或設計外洩,都可能導致資產的巨額流失,且損失往往無法追回。
儘管Snyk等資安平台已採用AI技術偵測並修補程式碼中的漏洞,但這些方案會增加持續性的營運成本。更重要的是,提示注入與資料外洩的風險難以完全杜絕。開發人員在與AI程式碼助理互動時,每次的提示都可能包含敏感的原始碼或憑證,形成傳統掃描工具無法消除的持續性隱患。
為應對這些挑戰,一家名為Origin的公司正研發機密AI解決方案,目標是將工作流程封閉於經過密碼學保護的「受信任執行環境」(trusted execution environment)中,從根本上消除資料外洩的風險。Origin的成功將取決於其能否證明相較於現有掃描解決方案,能帶來實質效益並降低整體安全支出,或有效預防損失。該公司執行長強調,在金融和金融科技等受監管的產業中,對資安防護的需求更為迫切。未來,Origin解決方案的廣泛應用還需仰賴與主流開發環境及持續整合/持續交付(CI/CD)流程的整合,並透過合作夥伴關係將其嵌入日常營運中。
