员工自带AI工具恐成黑客猎物
发布时间:03:00 2025-07-18 HKT
AI应用越趋广泛,可以问诊、撰写简历,甚至处理客户资料,但曝露私隐的风险同样增加。微软香港区域科技长许遵发接受《星岛头条》专访时表示,企业员工自带AI工具日益普遍,增加企业受非法网络攻击的风险,在使用AI工具时,须避免上载敏感讯息。他又指,不少科技巨头已实施「漏洞赏金计划」,鼓励白帽黑客找出系统漏洞,在恶意利用前先行修补,奖金甚至高达数十万美元。
现时不少员工为减少工作量,纷纷寻求AI工具协助。根据微软《2024年工作趋势指数》报告指出,香港有86%企业员工会使用自己的AI工具。不过,许遵发表示,使用企业外部的AI可能会带来严重的资料安全风险,因为市面上存在成千上万种AI工具,背后供应商身份不明,安全标准参差不齐,员工使用这些工具时,可能无意中将客户资料、机密文件,甚至个人敏感讯息上传至不安全的平台,「当这类不可靠的平台拥有了这些资料,很难预料他们会用于甚么途径」。
坊间AI工具标准参差不齐
为了维护企业数据安全及自身私隐,许遵发建议,除使用值得信任的AI工具外,使用时首先应谨慎披露个人资料,包括避免上传含有个人识别讯息的文件,例如完整的简历,更不要分享敏感的财务数据和身份资料。另外,亦可花时间阅读使用协议和隐私政策,了解数据如何被收集、处理和储存。他更指出,大多数AI提供选项让用户决定是否允许数据用于模型训练,若用户有私隐方面的担忧,应选择不同意。
除了用户自身提高保护私隐的意识外,企业层面亦需及时发现并修补漏洞。许遵发表示,在数字安全领域,「漏洞赏金计划」(Bug Bounty Program)已成科企预防系统漏洞的重要手段,他说:「我们永远面临的挑战是未知威胁,透过计划,希望在黑客发现漏洞之前先一步修补系统」。
用户应谨慎披露个人资料
企业通过提供奖金,公开邀请安全研究员或白帽黑客来寻找潜在漏洞。参与者一旦发现新的安全弱点,企业便会根据漏洞的严重程度,提供相应的现金奖励,金额从数百美元至数十万美元不等。例如,微软会邀请全球研究人员找出软件开发过程中遗漏的漏洞,并与微软团队分享,符合资格的投稿可获最高25万美元的奖励。
找出漏洞可获25万美元奖励
他又称,尚未被公开的系统弱点极具危险性,企业通过计划在恶意攻击者发现并利用漏洞前先行修补,可大幅降低潜在损失。因此,Google、苹果等科技巨头多年来亦积极实施此类计划,并取得显著成效,「这不仅是预防性安全措施,更让安全专家与企业形成互利共赢的关系」。
