人工智慧快速崛起，從內容生產、客服自動化，到市場策略規劃，都展現出超乎想像的效率與價值。但在帶來創新契機的同時，AI 也必然會引入新的風險。網路安全領域的專家，近年提出「三重威脅」的警告：AI 不僅被駭客用來提升攻擊手段，也成為防禦方仰賴的工具，創造出過去資安界都曾未出現過的新漏洞。

在這樣的格局之下，企業如果沒有將「身分安全」納入 AI 策略的核心，就很可能在看似安全的創新表象下，埋下難以承受的隱患。

「人」往往是最薄弱的環節

AI 的介入，使傳統的網路攻擊方式徹底升級。過去的釣魚郵件常常因錯字百出或格式粗糙而容易被識破，但如今駭客能藉由生成式 AI 打造出幾可亂真的訊息。

深度偽造影片能模仿領導者的臉部表情，語音克隆能重現熟悉的聲音，整個資安騙局的包裝變得更難以辨識。且當人類心理被操弄時，再完善的防火牆與加密機制，也可能瞬間失效。

統計顯示，近七成的英國機構在過去一年曾遭受到釣魚攻擊，其中還有超過三分之一的機構多次陷入同樣的陷阱。這凸顯了現實的一個重要真相：在人機對抗的安全戰場上，「人」往往是最薄弱的環節。再多技術防線，如果員工因過度信任而點擊了偽裝訊息，整個企業內部就可能被擊穿。

AI 成為資安助力，卻也需要與人類互相監督

不過 AI 並非單向度的威脅，它同樣也賦能了防禦方。

越來越多組織已經使用 AI 與大型語言模型監控網路行為，從中辨識異常流量、捕捉可疑模式，並自動化處理大量本來需要人工耗時的例行任務。可以說目前資安業界營運核心，AI 已經成為一個「力量倍增器」，幫助人力有限的團隊對抗越來越龐大的攻擊面。

不少企業預測，AI 將成為未來一年網路安全投資的重點方向。過去單靠專業資安人員的能力，已無法跟上攻擊的速度與複雜度。然而，這種對 AI 的依賴也潛藏風險。若組織缺乏足夠的監督，AI 工具在訓練資料偏差或「模型飄移」的情況下，可能出現誤判，甚至產生防禦上的盲點。

模型漂移（也稱為模型衰減）是指，由於數據變化或者輸入變量與輸出變量之間的關係發生變化，而導致機器學習模型性能下降。模型漂移可能對模型性能產生負面影響，進而導致錯誤的決策和糟糕的預測。

倘若錯誤的判斷沒有被意識到，企業內部往往會形成有自我感覺良好的安全感，結果反而使防線更加脆弱。這說明，人類專業並未被 AI 取代，反而更需要與 AI 相互監督，確保決策在效率與準確度之間取得平衡。

「影子 AI」擴大敏感資料外洩風險

隨著企業大量引入 AI 工具，用於自動化業務、生成內容或分析資料，伴隨而來的是「機器帳號」與「AI 代理」的爆炸性成長。研究顯示，目前非人類帳號的數量幾乎是人類帳號的一百倍，這些帳號往往具有高度權限，卻缺乏完善的監管。弱憑證設定、共享帳密，以及不一致的生命週期管理，讓這些帳號成為駭客眼中輕而易舉的破口。

更嚴重的是「影子 AI」的出現。

調查顯示，約有三分之一的員工曾在未經授權的情況下使用 AI 工具，但這些未受監控的應用可能在無意間處理了敏感資料，導致資料外洩或符合法規的失控風險。換句話說，AI 工具的高效，往往伴隨著「看不見的代價」，當管理層還沉浸於 AI 帶來的產能提升時，資訊安全團隊卻可能正面臨一個完全無形卻潛伏的危機。

企業需將機器或 AI 帳號視為人類管理

面對這樣的三重威脅，僅靠傳統的技術控制顯然不夠。企業得將「身分安全」置於 AI 策略的核心，才能兼顧創新與安全。

首先需要建立清晰的 AI 使用政策，明確界定哪些應用是被允許的，同時提供安全的替代方案，避免員工因便利而轉向風險更高的影子工具。

其次，必須徹底強化身份驗證與權限規劃。更重要的是，企業不能再將機器或 AI 帳號視為「次級角色」，而必須賦予它們與人類帳號同等嚴格的監管標準。畢竟，在駭客眼中，任何一個具有存取能力的帳號，都是進入企業的大門，不分人類或 AI。

最後，在 AI 已經同時成為攻擊與防守核心工具的時代，企業若僅抱著「AI 會自動保護我們」的幻想，必定會陷入危險。

盲目信任 AI，不僅可能讓自己在敵人進攻時措手不及，更可能因內部的影子工具或弱管理帳號將自己推入風險範圍。真正能讓組織走得長遠的，不是拒絕 AI，也不是依賴 AI，而是懂得以「身分安全」為第一道命脈，讓所有創新都在安全的框架下持續運行。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：AI 加劇資安風險，為何「人」往往是最薄弱的環節？