Articles in Turing Academy cover three major themes: ESG Net Zero Laboratory, AI Laboratory and Lean Management Laboratory. We will share articles on related topics from time to time. We also welcome students who are interested in the above topics to submit articles and share them with you. Insights (I want to contribute)

 為何資安主管要求立即規範 DeepSeek 等 AI 工具?
-- AI 安全風險下的企業焦慮與政策需求

 

圖靈學院
科楠老師
2025-8-25

 

英國資安主管的集體焦慮

 

    在全球企業積極推動 AI 應用的同時,英國的資安主管卻發出了不同的聲音。根據 Absolute Security 最新發布的《UK Resilience Risk Index Report》,有高達 81% 的英國首席資訊安全官(CISO)認為,中國 AI 巨頭 DeepSeek 的出現,已經成為國家級網路危機的潛在引爆點。他們呼籲政府必須立刻制定規範,否則 AI 可能從提升效率的工具,轉變為攻擊者的武器。

 

這份調查訪問了 250 位大型企業的資安主管,數據揭示出一個明確趨勢:AI 不再只是理論上的風險,而是迫切的現實。許多主管已經採取激烈行動,34% 的企業全面禁止使用 AI 工具,30% 則中止了特定 AI 專案。這並不是反科技的退步,而是基於資安壓力的務實反應。


高風險:從 Harrods 案例看資安脆弱性

 

    AI 引發的焦慮並非空穴來風。英國知名百貨公司 Harrods 近期的資安事件,就突顯了企業防線的薄弱。當攻擊者手中多了一個強大的 AI 工具,防守方必須面對更複雜的攻擊模式。

 

報告顯示,60% 的資安主管預期,隨著 DeepSeek 這類平台的普及,網路攻擊將直接增加。同樣比例的人指出,這些工具已經與企業的隱私與治理框架產生衝突,使得防禦工作更加艱鉅。

 

換言之,AI 在某些主管眼中,已經從解決方案,轉變為問題本身。42% 的 CISO 表示,AI 現在對防禦體系的威脅大於幫助。


DeepSeek 的核心隱憂

 

DeepSeek 的爭議核心在於兩點:

 

1. 敏感資料外洩
   平台的數據處理方式可能使企業內部資料暴露,進而被濫用。


2. 攻擊工具化
   AI 模型能協助駭客生成更具迷惑性的釣魚郵件、自動化滲透攻擊腳本,甚至繞過傳統偵測系統。

 

這些風險使資安領袖不得不重新評估 AI 的定位。Andy Ward,Absolute Security 的國際資深副總裁直言:「新興 AI 工具快速改變了威脅版圖。沒有清楚規範與治理,AI 可能加速攻擊,並使敏感資料暴露。」


準備不足的企業

 

    最令人擔憂的是資安團隊的「無力感」。近半數(46%)的主管承認,他們的團隊尚未準備好應對 AI 攻擊。他們看見工具的進步速度遠超過防禦能力,差距正不斷擴大。

 

這種「防守落後」現象,讓許多主管認為只有國家層級的干預才能縮小差距。Andy Ward 進一步指出:「這些並非假設性的風險。當企業已經開始禁止 AI 工具,甚至重構資安策略,就說明問題迫在眉睫。沒有國家層級的監管框架,英國經濟各部門都可能面臨大規模的中斷。」


投資與戒慎並行

 

    雖然許多企業採取了暫停或禁止 AI 的策略,但這並不代表完全撤退。更多的情況是一種「戰略性暫停」。

 

報告指出,84% 的企業計畫在 2025 年優先聘請 AI 專家。更有 80% 的公司決定讓 C-Suite 高層接受 AI 培訓。這代表企業同時在兩條路徑前進:

 

  • 強化內部能力:讓管理層與基層員工都能理解並運用 AI。
  • 引進外部專才:確保有專業人才能處理技術與資安的複雜挑戰。

 

這是一種「邊建設、邊防禦」的策略,希望在推進 AI 應用的同時,不至於打開更多漏洞。


政策與企業的交會點

 

    英國資安主管的訊息很清楚:他們不想阻止 AI 的創新,而是要安全地推動應用。要達到這個目標,政府必須介入,建立一套完整的規範。

 

這套規範至少應該包含:

  • 清楚的使用準則:哪些 AI 工具可以用、哪些不能用。
  • 監督機制:確保 AI 部署過程符合隱私與安全要求。
  • 專業人才培養:建立長期的人才管道,讓 AI 能在安全框架下發展。
  • 國家戰略:制定整體策略,避免 AI 成為系統性風險。

 

Andy Ward 在報告中直言:「辯論的時間已經結束。我們需要立即的政策與監督,確保 AI 是推動進步的力量,而不是危機的催化劑。」


AI 治理就是企業治理

 

    從 ESG 角度來看,這場爭論其實反映了「治理」(G)的核心議題。AI 的透明度、責任制與風險管理,已經不再只是技術問題,而是企業治理與永續經營的核心。

 

  • 環境(E):AI 大規模運算需要能源,若未規劃,將加重碳排。
  • 社會(S):員工是否因 AI 工具導致資料外洩或失業?客戶是否因隱私外洩而受害?
  • 治理(G):誰該對 AI 決策負責?企業是否有清楚的風險管理框架?

 

DeepSeek 的案例提醒企業:AI 治理就是 ESG 治理。沒有強化治理,AI 將無法帶來真正的永續價值。


全球趨勢與未來路徑

 

    英國資安主管的焦慮,並非孤立現象。歐盟早已制定《AI Act》,要求高風險 AI 必須接受嚴格管制。美國則透過 NIST AI 風險管理框架,建立標準。台灣也正在評估如何讓 AI 治理與資安法規接軌。

 

未來,AI 的發展會走向雙軌:

  • 創新加速:企業持續投入研發,探索 AI 的生產力潛力。
  • 管制加嚴:各國政府制定規範,防止 AI 成為攻擊武器。

 

對企業而言,最理性的做法是「在規範下創新」。這既能維持市場競爭力,也能降低因資安漏洞帶來的長期成本。


結論:AI 必須在規範中前進

 

    DeepSeek 引發的資安爭論揭示了一個關鍵現實:AI 不能在真空中發展。若缺乏規範,AI 可能會加速攻擊者的進化,最終使企業與國家陷入危機。

 

英國資安主管的呼籲,正是一種來自前線的警鐘。他們的訊息很直接:AI 的發展需要政策護欄,否則進步本身將成為威脅。

 

企業未來的挑戰,不在於是否採用 AI,而在於如何在合規與安全框架下採用。只有這樣,AI 才能真正成為推動永續與創新的力量。


參考資料

 

Artificial Intelligence News. (2025). "Why security chiefs demand urgent regulation of AI like DeepSeek". https://www.artificialintelligence-news.com/news/why-security-chiefs-demand-urgent-regulation-of-ai-like-deepseek/