商傳媒|林昭衡/綜合外電報導

隨著人工智慧(AI)工具在各產業中日益普及,AI安全已不再僅是資訊技術部門的專屬議題,而是成為企業日常營運不可或缺的一部分。這項轉變促使企業需針對資料保護、系統監管、權限設定以及如何在AI與業務運作直接連結的環境中確保安全等議題,進行更全面性的考量。

AI工具的應用往往仰賴雲端基礎設施、內部檔案、應用程式介面(API)與第三方平台等多重連結,這使得資料外洩的風險隨之升高。企業必須深入了解資料、身分驗證及權限如何於AI系統內部運作,以應對潛在挑戰。其中,處理敏感資訊是企業採用AI最大的擔憂之一。AI系統經常能存取大量的內部業務資料,例如客戶紀錄、財務報告、原始碼、客戶服務案件及產品開發計畫等。

當員工將敏感資料上傳至非為此類資料設計的工具時,風險會進一步提升。例如,產品團隊可能使用AI助理來篩選客戶回饋,準備在規劃會議中討論,而這些回饋筆記可能包含個人詳細資訊、合約條款或尚未發布的產品計畫。此情境下,企業需要清楚了解資料如何儲存、誰能查看,以及供應商是否保留提示詞或上傳的檔案。

AI安全需要持續的審查,而非一次性核准。隨著AI使用量增加,企業需要更明確的部署指導方針,包含繪製AI系統使用地圖、評估隱私與安全風險、建立控制措施與責任歸屬文件、在AI生命週期中持續審查系統,並警惕負面或意外後果。對於非技術團隊而言,治理的核心通常在於可見度,即了解員工使用哪些AI工具、哪些資料進入這些系統,以及流程的負責人是誰。

當AI系統與內部業務系統整合時,其價值能最大化,例如搜尋公司文件、查詢資料庫、編寫程式碼或自動化工作流程。然而,這些整合也可能導致權限過於寬泛,從而增加風險。若使用者本身無權查看人資檔案、法律文件或客戶合約,則內部AI搜尋助理不應能夠提取這些檔案。否則,AI系統可能成為繞過現有控制措施的非預期捷徑。

這類具備自主代理能力(Agentic AI)的工具,可能自行開啟工單、修改雲端資源、呼叫API或直接與營運系統互動。一旦出現錯誤的指令、不當的整合或帳號被駭,就可能比簡單的聊天機器人回應更快造成實質的營運問題。許多企業不會從頭建構AI系統,而是啟用現有軟體平台中的AI功能,這表示AI風險也可能來自第三方供應商,企業必須評估供應商如何管理提示詞、上傳檔案、加密、資料保留政策及事件應變程序。

大多數企業並未尋求全面停止導入AI,因為AI仍能提高效率、自動化流程並強化決策能力。更大的挑戰在於讓AI的採用過程可見且可管理。那些能了解AI系統運作範圍、處理何種資料、哪些身分與其互動,以及如何監控系統的企業,將更能有效降低可避免的風險,同時持續創新。《IBM》2025年數據洩露成本報告指出,資料洩露相關成本持續影響全球企業,尤其當敏感資料外洩導致營運中斷或損害客戶信任時,影響更為顯著。