解構AI引發的資安風險成因

因為各種新的AI應用，也讓資安成為重要議題。

林大馗表示，AI應用便引發資安攻擊手法的變革。原本的資安攻擊手法，例如：駭客會透過繞道潛伏的方式，滲透到企業內部，但當這些資安攻擊手法再加上AI後，就可以做到深度偽裝後、滲透企業內部，而不被察覺。

其他，像是以往的網路攻擊都是透過「知識」驅動，但加上AI後，就會變成是由「資料」驅動造成的網路攻擊。

另外，像是駭客原先就能藉由多點突襲的方式入侵企業，現在加上AI之後，就可以做到更精準地攻擊；甚至以往須透過專家創造才能完成的產品，當加入AI之後，就會成為某種「智慧製造」。

他認為，AI應用讓原本企業面臨的資安威脅瞬間升級，也變得更難以對應。

不過，AI不僅帶動各種網路攻擊手法發生質變，甚至於，AI本身也會面臨資安風險。

林大馗歸納出AI在不同階段預計要面對的7大風險成因，他分成：學習偏失、人為錯誤、技術缺陷、流程瑕疵、隱私侵害以及決策誤用等6大類；另外還可以加上第7種：因使用者暴增，而造成演算效能不足的原生風險。

學習偏失的主要原因是訓練數據的偏差，例如，使用了過時或不完整的訓練數據母體，或機器學習期的數據與實際情境不一致。

至於人為錯誤，則包含設計者或是使用者，對於演算法專業疏失，或其他人為道德與管理問題。

林大馗認為，不論學習偏失或是人為錯誤，最主要都是發生在數據感知，以及輸入階段所面臨到的資安風險。

他進一步表示，在演算法運算與深度學習階段，所面臨的資安風險有三大類型，分別是：技術缺陷、流程瑕疵，以及隱私侵害等。

其中，技術缺陷的資安風險，主要是設計者在演算法開發過程當中，因為缺乏對使用者情境與安全性的完整設計，以及測試，進而產生演算法錯誤（Bugs）。

至於流程瑕疵造成的資安風險，主要是因為使用者未瞭解演算法或是技術的限制，進而產生的過度依賴與誤用情境。

另一個常見的資安風險，則是因為演算結果濫用，導致侵犯當事人隱私權。

至於結果輸出階段與決策階段，林大馗表示，資安風險包括決策者對於分析結果的錯誤解讀或誤用造成的決策誤用，以及演算法運算與決策效率仍待提升，導致演算效能不足的風險。

從四個步驟拆解AI資安攻擊狙擊鏈

針對AI所面臨的各種資安風險，我們可以參考美國NIST所推出的MITRE ATLAS框架（Adversarial Threat Landscape for Artificial-Intelligence Systems），也能從MITRE的戰術、技術和程序（TTP），看出AI的確面臨前面提到的6大資安風險，包括學習偏失、人為錯誤、技術缺陷、流程瑕疵、隱私侵害，以及決策誤用等。

針對AI的資安攻擊狙擊鏈，我們可以進一步拆解針對AI的攻擊方法，可以拆解成下列主要步驟。

一、勘查標的，以及研發攻擊武器

二、竊取存取權限

三、執行惡意程式，並且匿蹤、擴散

四、持續滲透組織，並且造成危害

在第一個步驟中，駭客會勘查標的，以及研發攻擊武器。

林大馗指出，像駭客等攻擊方，會廣泛利用機器學習模型去了解與熟機各種威脅形式，例如，操縱機器學習模型的輸入、 學習如何繞過機器學習模型的安全性，並知道該如何利用機器學習模型的漏洞等。

如果再經過進一步的細分，我們可了解從哪些面向操控機器學習模型的輸入，例如分成下列模式：首先是數據注入攻擊，便是攻擊者將惡意數據注入機器學習模型的訓練數據。

第二是對抗樣本攻擊，由攻擊者使用對抗樣本，以此欺騙機器學習模型。

第三，則是模型竊取攻擊，攻擊者竊取機器學習模型的訓練數據或模型的權重。

最後，就是模型劫持攻擊，相關的攻擊者通過控制機器學習模型的輸入，例如Prompt（詠唱）、Injection（注入），或是輸出，以此劫持模型。

在這些機器學習模型當中，輸入錯誤資料之後，會改變最後的產出結果。

到了步驟二，則是竊取存取權限。

林大馗表示，攻擊方可能從供應鏈的某部分，獲取對機器學習系統的初始存取權限，鎖定攻擊的目標系統，可能是一個網路、行動裝置，或是一個感應器。

而在這個步驟當中，最重要的目的在於：獲取用戶名稱、密碼、API金鑰，或是藉由網路釣魚、通過利用受信任的第三方外部供應商，進入企業組織內部以獲取相關的存取權限。

接著是步驟三，重點在於：執行惡意程式並匿蹤、擴散。

也就是說，攻擊方會在機器學習程式碼中放惡意程式碼，例如，可以將惡意程式碼寫入儲存庫；或是當模型存為pickle共享時，便可以使用pickle嵌入攻擊（pickle是Python專屬的序列化∕反序列化模組，可用來儲存機器學習的模型）。

最後的步驟便是：持續滲透組織並造成危害。

林大馗表示，攻擊方為了避免重新啟動、更改憑據等作為，有可能會中斷他們繼續存取的權限，所以會留下一些文件，而這些文件包括：帳戶操作，也會包含任何保留攻擊者對受感染帳戶的存取權操作，甚至會藉由植入容器鏡像以建立持久性。

而在步驟四持續滲透的過程中，攻擊方也會透過下列三種方式，以便達到他們滲透到組織內部的目的。

對此，他進一步提出解釋。方式一是繞過防禦，畢竟攻擊方會想盡辦法避免「在整個入侵過程中被偵測到」的技術。

方式二則是攻擊方藉由滲透的方式，試圖竊取機器學習的產物，或取得有關機器學習系統的相關資訊。

林大馗指出，不論駭客是製作對抗性數據，以影響機器學習模型的結果，或是透過投毒方式使模型的性能變差，還是發起大量請求以癱瘓服務，或者是發送大量無關緊要數據，使組織花時間審查不正確的推論，甚至於是透過加密大量數據，以勒索金錢補償等方式，最終都會影響機器學習模型的正確性及效能。

ChatGPT目前仍難承擔專業責任

當大家驚艷ChatGPT的互動方式，後續開始察覺ChatGPT回覆的答案其實存在很多錯誤，甚至，後來發現ChatGPT執行的效率也變差了。

臺灣KPMG安侯企管顧問執行副總經理林大馗坦言，該如何讓「人工智慧」不要變成「人工誤會」，避免AI成為治理的陷阱，是大家在關注並應用AI時，必須注意的重點。

臺灣KPMG實測ChatGPT能否作為報稅顧問

為了印證生成式AI到底有多聰明，是否真的可以取代專業服務，林大馗表示，他們本身也特別以稅務專業的問題進行測試，驗證「以ChatGPT作為報稅顧問是否可行？」。

KPMG稅務服務部執業會計師張智揚實際以臺灣綜合所得稅申報作為情境測試，並將納稅人的家庭成員、撫養狀況、薪資收入、投資獲利等基本資料輸入ChatGPT，之後他們發現，ChatGPT的確能針對單純的個人情況，依據臺灣所得稅法回答出正確的免稅額及扣除額；不過，針對比較複雜的扶養親屬狀況，例如學齡前或七十歲以後的長輩等，ChatGPT提出的答案有誤。

若再進一步詢問深入且涉及需要判斷的問題，例如：應該如何申報最有利？或是夫妻應該要合併計稅或分開計稅、實際可列舉扣除項目、是否有其他特別扣除額、列舉扣除額等節稅建議，ChatGPT提供的建議不僅非常侷限，甚至出現錯誤的答案。

生成式AI還須克服五大弱點

林大馗根據他們實測的結果為例表示，目前看來，生成式AI要能提供真正專業顧問諮詢服務，例如稅務專業諮詢等，至少還需要克服五大弱點。

他表示，第一個存在的弱點就是對於最新規範適法能力不足，畢竟，生成式AI的訓練樣本並不是最新的資料，所以，只要是針對最新規定的詢問，例如：2023年臺灣綜合所得稅調高免稅額、標準扣除額、薪資與身心障礙特別扣除額、課稅級距，以及2023年新增的民眾協助烏克蘭難民，賑濟烏克蘭捐贈項目得以全額列報捐贈列舉扣除額等相關新規定，生成式AI的ChatGPT都無法正確處理。

再者，引導使用者的能力不足。他認為生成式AI需由使用者「完整提問」相關情境，以及背景資料後，才有機會提供正確答案，然而，一般使用者對稅務規則並不熟悉，往往無法提供完整資料或背景說明。

第三，經過實際測試發現，ChatGPT處理複雜問題的能力不足。林大馗表示，生成式AI僅能提供簡單稅務問題的基本建議，若遇到複雜的稅務情境，經過東拼西湊而產生錯誤答案的機率非常高。

第四個弱點是擔責能力不足。國外已有許多利用生成式AI開發的人工智慧稅務輔助系統，例如加拿大的TaxGPT.ca，但在聲明中即明確提到：TaxGPT.ca目的是提供友好和平易近人的方式，讓使用者開始學習稅務，並不是稅務計算器或專業稅務顧問，所以並無法承擔相關的稅務責任。也就是說，生成式AI提供的答案不管對錯都只是參考，也不需要承擔任何責任和義務。

最後一點，就是對於隱私的保護能力不足，林大馗表示，這也是大家最擔心的事情之一。因為報稅資料涉及許多個人隱私，雖然多數生成式AI都強調不會蒐集使用者的隱私，但實際上，有許多實驗證明，系統還是會「暗中記住」線上提問者的個資，而且，使用者也無法確認其資料保護的能力，因此仍存在高度隱私風險。