防黑客應人手把關|專家:勿盡信AI 美網安職缺大增 頂級高管薪酬半億
原文刊於信報財經新聞「CEO AI⎹ EJ Tech」
時至今日,軟件工程師使用人工智能(AI),一不小心便容易引入大量隱藏錯誤及漏洞,使黑客更易入侵企業的基礎設施;另一邊廂,Anthropic Mythos、OpenAI GPT-5.4-Cyber等新AI模型,亦具備極強的漏洞發現與攻破能力,促使企業急需招聘防禦人才。本地保安專家賴灼東接受本報專訪時表示,這時代既要擁抱AI,人類亦要擔當把關角色,時刻保持「零信任」(Zero Trust),並指網絡安全的核心始終是黑客與防禦者的博弈,最擔心有公司為節省開支辭退專業安全人員,將防禦全部交託AI。
賴灼東:人類專業判斷無可取代
《紐約時報》引述市場數據顯示,美國首季網絡安全職缺較去年增長11%。Heidrick & Struggles等跨國獵頭公司,原本預期今年是平靜一年,卻在最近幾個月接到大量委託,需要尋找具備安全漏洞應對、資料保護,以及程式碼審查能力的網絡安全高管,有關需求自去年秋天增長5至7倍。而頂級安全高管的薪酬方案,普遍達700萬至800萬美元(約5460萬至6240萬港元)。
Anthropic近日發布網絡安全專案「Glasswing」的初步報告,發現專案上線僅一個月,Claude Mythos Preview模型已幫助其合作夥伴,發現超過一萬個嚴重缺陷,但只有97個得到修復。VXRL漏洞研究員賴灼東博士受訪時指出,Anthropic旗下Mythos模型的確發掘好多漏洞,但要真正落手做時,AI只是一件輔助武器,無法取代人類的專業判斷及經驗。
港適合做安全方案 輸出國際
賴灼東以德國柏林Pwn2Own大賽為例,台灣著名資訊安全研究團隊DEVCORE在當中贏得「Master of Pwn」稱號,並獲得50.5萬美元獎金。賽果顯示,AI只能找到初階漏洞,反而能通過人手找到嚴重漏洞,證明人類信任及專業知識無可取代。他續稱,其團隊亦會針對AI做安全測試,在AI輔助下開發安全軟件或Trading Card Game(集換式卡牌遊戲)平台,更曾經找到Google Chrome瀏覽器的底層漏洞而獲賞金。
談到本地市場前景,賴灼東認為,香港作為國際金融中心,合規要求極高,對AI網安人才需求最迫切。此外,科企及政府部門正引入不少AI系統(如智能客服),如果沒有AI安全專家把關,新系統就會成為黑客跳板。他提到,香港法制完善,十分適合做「可信賴AI安全防禦」的研發及測試基地。除了服務本地企業及駐港跨國公司,本地研發的頂尖AI安全方案,亦可輸出國際市場。
AI屬「應聲蟲」 抱「零信任」原則
賴灼東強調,擁抱AI的同時,必須保持「零信任」(Zero Trust),「用AI寫Code或者做防禦,最後一定要有具備深厚專業知識的人類專家把關(Human-in-the-loop)。千祈唔好忘記AI係『應聲蟲』,隨時為咗氹你開心而留低致命漏洞。」他認為網絡安全的核心,始終是「人與人(黑客與防禦者)的博弈」。他最擔心有公司「過度迷信AI」,為慳錢辭退專業安全人員,將防禦全部交託AI。
另外,香港科技大學計算機科學及工程學系黃偉健博士受訪時稱,年輕人若要投身網安行業,除了多用中外最前沿的AI及大型語言模型(LLM),亦要學好基本功及工作流程,以免落後。他重申,現時仍無法保證LLM輸出沒有錯誤,程式員必須做好把關工作。賴灼東補充,企業必須投放資源做內部培訓,大學課程亦要升級,一定要加入「AI模型安全」、「自動化攻防」的實戰訓練。
人工智能必讀好書
書名:The InterACTIVE Class: Creation in a World of AI: Empowering Educators to Inspire Creativity and Innovation in an AI-Driven Classroom
作者:Joe Merrill, Kristin Merrill
簡介:本書向各年級的教育工作者介紹,如何在課堂上以有效且引人入勝的方式運用人工智能工具。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
