重新思考生成式 AI 與大型語言模型 (LLM) 時代的學習指標並培養批判性思考
最近我在南非和一群教育工作者進行了一場關於人工智慧 (特別是 ChatGPT 和類似產品) 的對話,他們都擔心這套軟體可能會讓學生更容易作弊。
我們討論到兩種 ChatGPT 的替代選擇:第一,老師可以要求學生繳交手寫的作業,這樣會強迫學生在交作業之前至少會讀過一次作業的內容。第二,老師在打分數時,最高只給到 89 分 (也就是 B),但如果要拿到 A,學生必須站在全班面前用口頭方式說明他的內容、研究方法以及結論,並回答老師或同學可能提出的任何問題。(有了口頭方式為自己的想法辯護,老師甚至完全不需要學生繳交書面作業!)
OWASP 針對大型語言模型 AI 聊天機器人首次提出了一份風險清單,再次證明生成式 AI 正迅速邁入主流階段,而這份清單也象徵著保護企業、防範 AI 相關威脅的重要一步。
20 多年來,「開放網站應用程式安全計畫」(Open Web Application Security Project,簡稱 OWASP) 的十大風險清單一直是企業改善軟體安全最指標性的一份參考資料。這也難怪當今年春季初 OWASP 發布最新的十大風險清單並聚焦大型語言模型 AI 漏洞時,開發人員和網路資安專業人士都紛紛密切關注。
OWASP 此一動作再次證明了 AI 聊天機器人正迅速邁入主流階段。根據一項調查,有將近一半 (48%) 的受訪企業表示他們在 2023 年 2 月左右已經開始採用 ChatGPT 來「取代勞工」,而這距離 ChatGPT 發表以來才不過短短的三個月。許多觀察家都憂心指出,AI 的普及既倉促、又缺乏對相關風險的了解,因此 OWASP 的十大 AI 風險清單來得正是時候,也有其必要。
繼續閱讀本文引述三個研究案例說明駭客如何利用在地代理器 (residential proxy) 與 CAPTCHA 破解服務,來避開線上服務網站的反垃圾郵件、反機器人與反濫用措施。
今日線上服務網站有一項必要安全措施就是:確定來訪的真人、而非自動化機器人。這麼做可以讓網站過濾垃圾郵件、未經授權的網站爬梳、大量的假帳號註冊、回應及評論,以及最重要的,來自殭屍網路大軍的攻擊。其中最常被用來過濾自動化機器人的工具就是用來辨別電腦和真人的全自動化公開圖靈測驗 (CAPTCHA) 驗證。
CAPTCHA 是一種「質詢/應答」驗證,理論上只有真人能通過驗證。一些常見的 CAPTCHA 驗證會在一張含有紋路的背景圖案上顯示一些扭曲的數字和英文字母,然後要求使用者將圖中所顯示的數字和字母輸入到一個文字方塊中。今日還出現了一些進階版的 CAPTCHA 驗證,要求使用者從一些方形圖片中找出某種物件,例如:交通號誌、汽車等等。
簡單的 CAPTCHA (例如只包含數字和字母) 有時可利用光學辨識 (OCR) 技巧加以破解,而較難的 CAPTCHA (例如扭曲的字元) 也可以被採用機器學習 (ML) 技術的自動化解謎程式破解。為了反制這些 CAPTCHA 破解技巧,一些更進階的 CAPTCHA 驗證已被開發出來,包括:在一個網格當中找出某些物體,或是將某個物體旋轉至正確的位置。但假使駭客在破解 CAPTCHA 驗證時使用的不是機器人而是真人,那麼線上服務業者將面臨截然不同的挑戰。
繼續閱讀
隨著延伸式偵測及回應 (XDR) 市場的不斷成長與演進,我們正好可以趁這個機會了解一下那些已經投資這項能力的企業所獲得的一些正面成果,例如資安狀況的改善。
根據 ESG 的一項調查,有超過半數的資安團隊表示今日的資安營運比兩年前更加艱困。這些團隊目前正面臨五項大環境趨勢所帶來的一波前所未有的改變:
為解決這樣的情況,現代化資安團隊需要一套能隨時搶先資安威脅一步的解決方案,而 XDR 正是企業的一個全新機會,讓企業擁有必要的能力來有效應付上述挑戰。
繼續閱讀本文探討零信任 (Zero Trust) 能為您企業帶來哪些效益,主要聚焦在如何提升資安、保障供應鏈安全,以及符合國際法規框架。
在今日快速變遷的數位情勢下,企業正面臨日益精密的資安威脅與漏洞。傳統的資安模型再也無法保護機敏資料並防範風險。這就是零信任能派上用場的時候,它能提供一套全方位的資安方法來協助企業解決新興的挑戰。
本文探討零信任能為您企業帶來哪些效益,主要聚焦在如何提升資安、保障供應鏈安全,以及符合國際法規框架。
零信任的設計是要用來找出影子 IT 以及企業內效率不彰的環節,以便將它們消除。這套方法有助於降低營運和資產成本,有效降低企業的風險。此外,零信任也能改善資料安全,發掘資料風險高於正常平均值的系統,打造一個更安全的資料環境。
