我小時候曾聽一位前輩說過一句很有意思的話:資安講求的,從來不是絕對安全,而是平衡。

這句話我一直記到現在。

我們花了大量時間制定各種資安準則、流程與規範,但很多時候,一旦走到極端,反而會讓人綁手綁腳。實務上,很多時候這些規範往往已經對效率造成了明顯影響。

但你說資安能不顧嗎? 隨便一個事件——像是被駭客攻擊、資料庫外洩,或某台伺服器被入侵勒索——影響都可能是災難性的。

某種程度上,資安其實很像法務: 很多時候會限制行動、拖慢節奏; 但一旦完全不顧,付出的往往是巨大的商業損失,甚至是公司存亡。

所以資安真正面對的,其實是一連串「平衡問題」:

  • 效率與安全之間的平衡
  • 資安實施成本(人, 錢, 時間) 與可承擔風險之間的平衡
  • 最小權限原則與實際信任邊界之間的平衡

而到了今年,AI 讓這個平衡問題變得更複雜了。 從資訊安全的角度來看,AI 至少同時具備幾個截然不同的面向。

第一,AI 是一個極其高效的助手。

在特定場景中,它可以 5 倍、10 倍地放大人的工作效率,這是任何人都無法忽視的誘因。所以我們會大量看到,人在企業中自主地使用 AI ,甚至偷用 AI (影子AI ),只為了個人可以工作表現贏過同事

第二,AI 又像是一個「數位員工」。

它已經不只是工具,而是能像真人一樣,幾乎無痕地嵌入某個 business process 裡。但傳統資訊安全,一直以來都是在防範「工具」; 我們遇到一個會自己思考,甚至行為不是那麼 100% 穩定的系統 這可能是第一次,我們面對一個既像工具、又像人的系統邊界。

第三

資安專家已經指出,這一波 AI 的主要攻擊面,其實是「語言本身」。 多語種、混雜語種、上下文組合誘導,使得攻擊組合的可能性幾乎是無限的。 我們必須承認一件事:目前「不可能」做到 100% 防範來自 AI 的資安風險。

第四,也是最棘手的一點。

AI 太新了。其中有大量內部機制,目前人類其實還無法完全理解,也難以被既有的資安模型整合。在過去,資安通常會建議:先暫緩導入,等理解這個技術成熟後,再一步一步實施。 但現實是——AI 競賽已經卷到不行,企業不導入 AI,面臨的不是落後,而是生死存亡。

這幾乎就是我們現在所處的狀態。

我們追求效率,而 AI 的採用速度已經無法阻止; 不接受它,往往意味著企業在一到兩年內,將與第一梯隊徹底脫節。

但同時,我們並不真正理解它,也沒有能力百分之百地防範它。

也正因如此,我們比以往任何時候,都更需要在人類、AI 與資安之間,重新思考那條「平衡線」。 或許,這正是 AI 時代下,人類比以往更需要「品味」的原因。

相關文章: