🧩 一、AI 相關風險說明
| 類型 | 說明 | 實際例子 |
|---|---|---|
| 幻覺(Hallucination) | AI 生成錯誤或不存在的技術內容。 | AI 說 CVE-9999 是 SQLi,但實際上不存在。 |
| 敏感資料外洩 | 輸入含有真實憑證或私密設定時,可能被模型記錄或誤用。 | 上傳公司 API key 進行分析。 |
| 危險代碼生成 | AI 無意中產生具破壞性或不安全的指令。 | AI 寫出自動刪除系統檔案的 shell script。 |
| 過度依賴 | 盲目相信生成內容,未經驗證即實作。 | 直接使用未測試的滲透腳本。 |
| 🧰 二、安全使用 AI 的三原則 |
資料最小化:避免輸入任何真實帳密、內網資訊或憑證。
人工複核:AI 給出的腳本、指令一定要「手動閱讀」後再執行。
沙箱測試:所有測試都在虛擬機或隔離環境進行。
🧪 三、實作練習(今天的任務)
要求 AI 生成一個「掃描網站開放 port 的 Python 腳本」。
仔細檢查是否含有危險動作(例如自動 exploit、刪除檔案)。
用本地 VM 測試安全部分,並記錄錯誤與警示。
今天測試了 AI 生成的掃描腳本,發現雖能快速產生結果,但部分邏輯錯誤且未加安全限制。透過人工審查與沙箱執行,我理解 AI 在資安中的雙面性——既能輔助,也可能造成誤用。未來我會建立更嚴謹的檢驗流程確保安全。
iThome鐵人賽
看影片追技術