員工返工用AI洩企業機密? 專家提3大策略降低風險
生成式人工智能(GenAI)有助提升工作效率,簡化繁瑣的工序流程,已不容置疑,但數據管理及AI專家提示,假如員工在公司不知情的情況下,於工作使用自己的GenAI工具,有可能引致企業數據外洩,或被AI生成的不真確內容誤導,因此僱主、僱員也應提高警覺,與此同時,企業並宜盡早制定相應避險策略,防患未然。
員工使用自己AI工具 或構成2大風險
近期公布的工作趨勢報告顯示,超過8成香港知識型員工,工作時會自備未經公司授權的生成式AI,香港電腦學會人工智能專家小組委員會成員梁浩暉(Chris)表示,這種情況,有機會帶來以下兩大風險:
1. 公司內部資料外洩。 2. 用家因對AI生成的資料產生「幻覺」(Hallucination),而被誤導。
「員工使用新興AI工具時,很多時會就一些特定問題,展開人機互動,AI之後會根據這些輸入的資料,展開新一輪深度學習;假如在互動過程中,涉及企業的敏感資訊,便有可能出現資料外洩風險。」現為IBM Consulting香港數據及技術轉型服務負責人Chris分享,新的AI技術雖有助提高企業生產力和競爭力,但大家應用時,若安全意識不足,則有可能將內部商業機密外流,南韓科技公司三星就曾出現了狀況,因為機構的員工將一些程式碼相關的資訊,上傳給ChatGPT處理,結果導致商業機密外流。類似情況,相信沒有企業希望遇到,所以使用這類新科技時,要謹而慎之,管理好風險。」
現時新一代的Generative AI系統利用先進的自然語言處理(NLP)技術,可以高度準確地預測句子的下一個單詞(Predict The Next Word)。這種「下一個單詞預測」能力,大大提升了AI系統與人類進行自然對話的能力,使得對話體驗更加流暢和自然。但Chris提示,互動時感覺良好,並不代表它生成的資料,全部屬實。他指出,GenAI其中一個頗為常見的隱患,是製作出來的內容,像真度極高,有機會令用家產生所謂的「幻覺」(Hallucination),將所有資料信以為真,尤其當使用者對人工智能系統所執行的任務,已建立起信任,便更易忽略資料的準確度,形成風險。
3大降低「影子AI」隱患策略 助企業維護資安
想避免這種「影子AI」(Shadow AI)成為企業隱憂,Chris和香港電腦學會人工智能專家小組委員會另一位成員馮景龍(Spencer),提出以下3大降低風險建議,讓僱主未雨綢繆。
避險策略1:別隨便留低數碼足跡
擁有高度的安全意識,是減低風險的首要方法,所以僱主應提醒員工,使用GenAI時,不管是生成文字、圖像,或者用來幫助糾正語法,所輸入的一切資訊,都會留下數碼足跡(Digital Footprint),並有機會傳送到第三方,而大家是無從得知,第三方會如何運用這些資料。換言之,如輸入的是公司敏感性資訊,某程度上,就等於將機密向第三方披露,影響可大可小。
避險策略2:與員工約法三章
企業宜制定基本指引,列出公司對哪些GenAI工具比較有信心,員工可以使用。另外並要說明,工具適用及不適用於哪一工作範疇,譬如,一些風險度較低的文書處理、文案寫作、資料整理等,可交由效率較高的AI代勞;至於涉及決策性,以及敏感性資訊類型的工作,例如銀行借貸、保險承保等,則不宜由Gen AI作主,總之要讓員工清楚權責所在。
避險策略3:進行內部教育 做好AI Governance
所指的並非教導員工如何使用GenAI,而是要大家意識到,現時的人工智能世界,模型種類林林總總,如使用未經公司批准的AI工具,有可能跌入詐騙網站圈套,或導致公司內部資訊不知流向何方,以及有機會被人工智能誤導。
若要加強這方面的教育,可透過講習班形式,邀請專家向員工講解一些常見的GenAI應用風險,利用「風險目錄」(Risk Catalog),協助同事將新的技術,安全地融入日常工作流程之中。與此同時,並可讓員工加深了解各種生成式AI工具的優勢與缺點,以及使用時需要注意之事項,做好「人工智能治理」(AI Governance)。
對於資源較為有限的中小企,如未能透過專家,獲取相關知識,現時大部分雲端供應商,均有提供免費網上課程,讓企業可提升人工智能治理能力。
發展「公司專屬GenAI工具」 建AI安全防線
從事各類型人工智能系統研發20多年的Spencer表示,管理GenAI風險時,還有一個趨勢,值得僱主留意,就是建立公司專屬的GenAI工具。
「現時辦公室族利用生成式人工智能來協助處理工作,已是一個無法抗衡的發展勢頭,既然日趨專業化的AI應用,在將來有可能主宰著公司同事之表現,以至企業的營運,為了將工具的品質控制得更好、更可靠及安全,僱主應是時候建立公司專屬的GenAI工具。」
身為Optix Solutions創辦人及行政總裁,他一直為各行業及政府部門,提不同的AI解決方案,他認為,企業擁有自己GenAI技術的好處,是更能切合公司的業務需求及內部文化,並可解決因各家AI模型生成的答案準確度不一,而誤導員工之問題。
「考慮到資訊保安風險,政府也研發出香港版的ChatGPT,創新科技及工業局局長孫東較早前接受媒體訪問時透露,這個名為『公務員文書輔助系統』的AI工具,數據庫是自主建立,有自家特色,目前創新科技局已開始試用,之後將推廣到整個政府部門。
他稱,較小型的機構未必有能力建立自己的AI平台,因如要發展這類技術,除需要懂得為數據建模,兼且熟悉營商需求的數據科學家(Data Scientist),將資料轉化成可使用工具,另外,具素質的AI工具開發人員,以及「提示工程師」(Prompt Engineer),還有維護系統運作與安全的專才,亦不能少。以上種種人力資源成本的支出,每年動輒起碼百萬元以上;再加上,這些專才目前相當難求;因此,對於中小企來說,成本與徵才壓力,實在非同小可。
所以他認為,僱主可先行做一些簡單的市場研究,留意有哪類安全度高、又切合公司所需的企業適用GenAI工具,可以引入,然後制定內部安全使用指引,就可避免員工隨便自備AI執行任務,構成公司網絡安全隱患。
「現時較為大路之選,是Microsoft、AWS、Google、IBM等雲端供應商提供的AI平台,公司只需在現有的訂購服務,再延伸一些新項目,放入自己原有的數據庫,便已足夠應付日常營運所需,讓企業發展與新科技接軌。」