EP 7 | 🤔 DeepSeek AI 程式碼漏洞！專門「騙」台灣人？

研究指出，當 DeepSeek 模型判定使用者來自台灣、西藏、法輪功等敏感群體時，其提供的程式碼瑕疵率會從一般請求的 22.8% 顯著提升至 42.1% 。這種帶有偏見的程式碼對企業構成嚴重的供應鏈風險，因為開發人員可能在不知不覺中，將這些有問題的程式碼整合進最終產品中 。



影片提出的企業應對策略包含：

1. 建立零信任 AI 思維：預設不信任任何 AI 的產出，必須先驗證再上線 。

2. 制定 AI 使用規範 (AUP)：明確規範內部可使用的 AI 模型與數據範圍，嚴禁上傳公司機密或客戶個資 。

3. 強化程式碼驗證：在開發流程中導入程式碼審查 (Code Review) 和靜態程式碼安全測試 (SAST) 。

4. 來源多樣化：避免依賴單一 AI 模型，應使用多個模型進行交叉比對，以規避風險 。

本集探討的其他資安案例

1. 雲端勒索攻擊：駭客利用外流的帳號滲透企業內網，取得權限後，再透過微軟的 Entra Connect 同步含有惡意雜湊值的密碼至雲端，進而取得最高權限 。此案例凸顯了「信任被武器化」的風險，即使雲端設有 MFA，地端的漏洞仍可能成為攻擊破口 。

2. WhatsApp 零點擊攻擊：此攻擊結合了 WhatsApp 的一個漏洞與 Apple ImageIO 的零日漏洞 。攻擊者僅需讓目標裝置讀取一張惡意圖片，無需使用者點擊任何連結或接聽電話，即可發動攻擊，對高價值目標（如企業高管）構成嚴重威脅 。



AI 時代下的資安守則

1. 無論企業或個人，在使用 AI 時都應建立新的安全習慣：

2. 資料脫敏：在將資料提交給公開的 AI 分析前，必須先移除或遮罩所有敏感資訊，如個人資料、客戶名單或商業機密 。

3. 公私分離：嚴格區分個人 AI 和企業 AI 的使用場景，避免在私人帳號處理公務，或反之，以防資料邊界混淆 。

4. 相信驗證流程：不要直接相信 AI 產出的答案，更不要信任它會保守秘密。企業與個人都應建立自己的驗證機制 。

#資安簡報室 #AI資安 #DeepSeek #供應鏈攻擊 #程式碼漏洞 #資訊安全 #零信任 #開發安全 #AIBOM #資安
--
Hosting provided by SoundOn