個人資料私隱專員公署(私隱專員公署)聯同全球 26 個私隱執法機構,進行以「兒童私隱」為主題的 2025 年「全球私隱執法機構網絡」(GPEN)抽查行動(抽查),是次行動共檢視近 900 個供兒童使用的網站及流動應用程式,發現部分兒童個人資料被強制收集的情況增加,風險較 10 年前有所上升。
AI 生態系統不斷轉型,由以往的「AI 輔助」正逐漸轉向「 AI-Native(AI 原生)」,這轉變不止是技術上的升級,更重塑了企業運作模式。兩大國際級頂尖公司 Palo Alto Networks 及 IBM,聯手透過深度整合,以平台化、一體性方案保障企業應用 AI Agents 的安全,助客戶實現 AI-Native。
IBM 與 Palo Alto Networks 的夥伴關係建立在共同目標之上,包括資源互補,以及簡化網絡安全複雜性。Palo Alto Networks 提供網絡安全技術,包括基於 Precision AI 的 Cortex XSIAM 平台、專注 AI 安全的 Prisma AIRS 2.0 等;而 IBM 作為 Palo Alto Networks 的策略性託管安全服務提供商(MSSP)之一,由 IBM Consulting 為客戶分析及設計完整兼簡潔的一體化平台,全面提升網絡安全、速度及整體性。
根據香港生產力促進局(HKPC)的調查,約 88% 的受訪企業員工已在日常任務中使用 AI 工具,但只有 45% 的企業擁有官方認可的 AI 平台,超過半數缺乏全面的治理框架,導致「影子 AI(Shadow AI)」部署增加,推高了數據外洩的風險。
技術上,香港許多企業累積了多年的傳統 IT 架構及舊有系統(Legacy Systems), IBM Consulting 香港混合雲與數據服務主管李榕燈(Stephen Li)認為,大部分企業起初構建框架時,未預料 AI 發展迅速,「企業會傾向不斷加新功能、用唔同平台管理,但去到某個位會出現樽頸」。與現代 AI 技術不兼容、架構分散,導致部署過程複雜且成本高昂,企業或需重新審視與規劃,才能完全發揮 AI Agents 的潛力,實現 AI-Native。
自主化 AI Agents 應用發展迅速,Palo Alto Networks 在今年初預測,機器( 包括 AI Agents )的數量將以 82:1 的比例超過人類員工,意味企業的安全邊界將從保護「人類用戶」,擴展到保護數以億計的「機器身份」。 Palo Alto Networks 大中華區生態系統總監楊傑宏(Bryan Yeung)形容「AI 係企業嘅 DNA」,及至 2026 年約四成企業應用程序將具備 AI Agent 功能,因此,防禦重點將從被動阻斷,轉向主動管理。
具備推理、記憶與執行能力的 AI Agent,或會被惡意利用,進行提示注入(Prompt Injection)、工具濫用或上下文中毒(Context Poisoning)。為應對這些威脅,Palo Alto Networks 推出 Prisma AIRS 2.0,並與 IBM 的自動化及 AI 技術深度整合。Prisma AIRS 透過與 IBM watsonx Orchestrate 的原生集成,為企業構建、部署及管理 AI Agents,提供實時的威脅預防。
早在開發階段,Prisma AIRS 的 AI 模型安全功能可掃描第三方模型,防止惡意腳本注入及反序列化攻擊,亦能與 IBM Project Bob(AI 輔助軟件開發合作夥伴)結合,在代碼編寫過程中掃描提示語與模型響應,防止生成具有漏洞或惡意行為的代碼。
到運行階段,聯合方案採用了「AI 防火牆」的概念,實施運行時防禦。這包括對 Agent 的行為進行持續監控,以檢測權限提升、內存操縱或上下文中毒等異常跡象。Prisma AIRS 的自主紅隊(AI Red Teaming)功能會進行模擬攻擊,測試 AI 應用程序對漏洞利用的抵抗力,並根據 NIST AI RMF 等國際 AI 風險管理框架,提供修復建議。
透過 Cortex XSIAM,安全團隊更可獲得對所有 Agent 活動的統一視圖,這種「平台化(Platformization)」策略確保了所有數據流,包括 Agent 與後端系統、數據庫及第三方 API 之間的交互,均經過精確 AI 的分析與保護。
企業遇上網絡攻擊時,尋找問題根源及縮短解決時間,往往是最大困難, Stephen 認為:「唔少企業仲係依賴人手去搵出問題,用平台化就會更有效率。」Bryan 亦表示同意,又以剛實施的《保護關鍵基礎設施(電腦系統)條例)為例,受監管機構在發生網絡安全事故後,需在一定時間內通知當局,中間要經過一輪分析、層層報告,「利用 Managed Services(託管安全服務) 去改善 Platform、幫手準備向政府匯報嘅分析同文件,企業可以更彈性、有更多時間處理問題」。
面對全球性的人才短缺問題,IBM Consulting 更透過其 IBM Consulting Advantage 平台,部署經訓練的「數碼員工(Digital Workers)」,能執行原本需要人類完成的重複性安全分析任務,提升了反應速度及工作效率,使其能以「機器速度」應對威脅及工作機遇。
選擇合適的 IT 解決方案,「落地」絕對是一大考量。 Palo Alto Networks 與 IBM 的聯合方案,正是專為追求高度網絡韌性與快速創新的企業而設計,包括金融服務、醫療保健、關鍵基礎設施、跨國企業與科技先驅。為給予這類環境複雜的客戶足夠信心,聯合方案採取了「Client Zero」策略。
Client Zero 核心在於「將自己視為第一個客戶」, IBM 在其內部環境中部署了 Palo Alto Networks 的 Cortex XSIAM 及 Prisma SASE 3.0;而 Palo Alto Networks 亦已在內部部署了 IBM 的 watsonx AI 與數據平台,這種互為「Client Zero」的模式,令聯合方案在推出市場前,雙方都已經過大規模、高壓力的真實環境驗證,並非只流於理論。
要追上 AI 自主化時代的步伐,單單堆疊不同 IT 產品的安全策略已不合時宜。Palo Alto Networks 與 IBM 的深度整合,不僅解決了當前的技術漏洞,更為企業未來幾年的 AI 擴張預先「鋪路」,引領企業走在最前,邁向 AI-Native。
可能不少人都玩過交友 App,但未必每個人都能透過程式認識到志趣相投的朋友。為了更精準為用家進行配對,社交平台 Tinder 就推出 AI 配對服務,但條件是要授權程式可以讀取及上傳用家手機相簿內的相片,交給 Tinder 的 AI 運算……不知道大家會否接受這條件?
AI 的興起,催生出各種不同的有趣應用,不少企業都希望藉此提升用家體驗。Tinder 這項名為「Photo Insights」的新功能便希望利用 AI 技術提升用家體驗。不過,有網絡安全專家卻發現這種 AI 應用潛藏極大的私隱風險,如用家抱著貪方便的心態使用,隨時跌入敏感資料外洩的陷阱。
這項被形容為極具私隱侵入性的新功能,目前採取了「選擇性加入」(Opt-in)的模式,不會預設用家接受相簿被強行讀取。當用家同意授權後,Tinder 首先會直接在用家的手機等設備上進行初步掃描,根據相片的質量、內容以及相似度,找出系統認為能夠產生相關個人洞察的相片。隨後,AI 會根據這些相片中的主題和物件,生成有助於配對的數據分析。
雖然整個過程聽起來相當高科技,但背後隱藏巨大的安全隱患。Tinder 官方承認,為了生成這些相片洞察,系統會將「部分選定的相片暫時上傳至伺服器」。問題的癥結在於被選中的私人影像究竟會在 Tinder 的伺服器上保留多久?而這些伺服器是由 Tinder 直接管理,還是交由第三方機構處理?此外,Tinder 挑選相片的具體標準同樣模糊不清,意味用家相簿中任何一張私密相片,都有可能被自動上傳。
Tinder 在聲明中強調這些相片只會「暫時」上傳,並只會用於創建「Photo Insights」的用途,及與 AI 技術供應商共享。除非用家決定將這些相片用於個人檔案中,否則隨後便會從伺服器中刪除;而未被保留在帳戶上的洞察數據,亦會在 90 日內被徹底清除。
不過,Cybernews 安全研究員 Aras Nazarovas 指出新功能引發了多重私隱問題,首先是 Tinder 未有透露 AI 技術供應商的具體身份,亦未公開其私隱政策,衍生出極大的信任危機,因為用家根本無法核實他們的相片是否被安全儲存,其後是否真的會被徹底刪除。即使 Tinder 聲稱在設備上進行的初步掃描是為了確保只有符合條件的相片才會被上傳,但在缺乏透明度的情況下,根本無法保證那些不符合規定的私密相片不會意外落入 Tinder 或 AI 供應商手中。
面對交友軟件的安全隱患,專家建議用家就算急切交友,都應避免輕易授權應用程式讀取相簿。而企業及開發者亦需加強安全防護措施,在推出前確保沒有安全漏洞,從源頭減少 AI 工具被惡意利用的可能性,保障用家的私隱安全。
資料來源:https://cybernews.com/privacy/tinders-artificial-intelligence-scans-camera-roll/
