
隱藏的網路安全威脅:保護人類與人工智慧的關係
關於人工智慧在網路安全中的對話,其實錯過了重點。儘管產業焦點集中在人工智慧生成的網路釣魚郵件出現上,但一個更深刻的變化卻被某種程度上忽略了。
你的勞動力不再僅僅是人類。現在是一個由人員、AI 代理、助理、助手和數位夥伴組成的混合團隊。
這造成了一個新的且複雜的攻擊面。下一個重大的安全挑戰不僅是保護人類免受機器的威脅,而是要保障它們之間的關係安全。
這不僅僅是未來的威脅;這正在發生中。
真正的威脅:社會工程與人類-人工智慧聯盟
多年来,攻擊者一直專注於人類點擊惡意連結所需的幾秒鐘時間。接下來,他們的目標將是用戶與其 AI 之間的信任。新的攻擊方式將會更加隱秘且危險。這包括以下策略:
- Prompt Injection:透過欺騙使用者讓他們向 AI 代理送出惡意提示,導致資料外洩或執行未經授權的行動。
- Data Poisoning:透過社交工程使員工提供一份看似「有幫助」但已被污染的資料集給他們的 AI,影響未來的輸出結果。
- Confidence Exploitation:利用 AI 的權威口吻說服使用者繞過他們原本不會做的安全控制。
這些不是科技問題;它們是人類問題,因科技而加劇。解決這些問題需要了解人類行為、心理學和風險。這需要一個平台,不僅僅是為了阻止不良連結,而是全面管理人類因素。
為未來而設計的HRM
當其他企業都忙著調整應對之際,KnowBe4的人員風險管理 (HRM) 平台 是專為這個挑戰而設計的。KnowBe4 的策略一向不僅僅是培訓,它是一個持續的、以數據為驅動的系統,旨在管理人類行為。以下是我們的平台如何保護您新的混合工作力,並與我們的 DEEP (防衛、教育、賦能、保護) 框架相對應。
DEFEND: 守護新的邊界
「周邊」現在是使用者與他們的AI之間的對話。我們先進的AI驅動反釣魚工具 (Defend) 設計的目的是理解上下文和意圖,而不僅僅是簽名。它能檢測出那些複雜的、無有效載荷的社交工程攻擊,這些攻擊是人類與AI之間妥協的前奏,提供了關鍵的第一道防線。
這不僅僅是為了保護使用者;還是為了為AI代理創造一個淨化的信息環境。透過過濾惡意前驅,我們從一開始就保護代理不會接收到中毒數據或被武器化的提示。
教育:培養具批判思考能力的人,而不只是點擊者
對抗新威脅的唯一方法就是建立一支具備批判性思維的 workforce。這已經是我們超過 15 年來的核心使命。
KnowBe4的2025年 產業釣魚基準報告,分析超過6700萬次模擬,驗證了我們的方法論是有效的。我們將組織的平均基準釣魚易受攻擊百分比從33.1% 降到僅為4.1%,這是86%的改善。這不僅僅是關於識別釣魚攻擊,而是從根本上改變安全行為。
此外,SecurityCoach 可以整合進組織現有的安全架構中。它能偵測出危險行為,例如使用者試圖將敏感資料上傳到公開的 AI 工具,或是使用可能被利用的不安全提示技術。接著,它會立即提供一個具體的 “安全提示(SecurityTip)”,幫助使用者了解資料處理與安全互動的最佳方式。這樣能在風險發生的瞬間加強訓練,確保所學到的教訓能夠在實際情況中應用。
EMPOWER:建立一個質疑一切的文化
賦權是堅韌組織的文化基石。數十年來,我們一直培訓員工遵從權威的要求,無論是來自他們的 CEO 或是系統提示。現在,我們給予他們的 AI 助手以無與倫比的權威性,將資訊呈現為無可置疑的事實。如果一個組織的文化懲罰質疑 CEO 的行為,那麼員工可能永遠也不會感到安全去質疑 AI。
這就是為什麼最重要的人類防線是建立一種文化,在這個文化中,員工不僅被允許,而且被鼓勵隨時暫停並質疑任何感到可疑的要求,不論該要求的來源是什麼。
這也是為什麼 Phish Alert Button (PAB) 成為目前最重要的賦能工具之一的原因。它不僅僅是一個舉報功能;它是一個安全、非對抗性的渠道,讓員工可以說:「我不太確定這個。」這使他們能夠直覺行動,而不必擔心看起來愚蠢或違抗指令。透過提供這個簡單而強大的工具,組織能夠培養出尊重詢問的文化能力,這是防範精密社交工程的最佳護航,無論來源於人類或機器。
PROTECT: 將人類與AI轉變為一個具韌性的系統
一個成熟的策略承認一個簡單的事實:錯誤是無可避免的。即使擁有最好的防禦措施和最精良的訓練團隊,稍縱即逝的分心也可能導致錯誤。Protect 這個支柱旨在建立一個智能安全網,以確保當這些無可避免的錯誤發生時,其影響範圍能夠迅速被控制。這是關於韌性,而不是責怪。
考慮一下這個簡單且常見的錯誤:不小心把含有敏感資料的電子郵件發送給錯誤的對象。這並不是惡意行為,而是人為失誤。這時候,KnowBe4 Prevent就像是個重要的安全保障。它利用上下文機器學習來理解電子郵件的內容及收件人,並在發送的瞬間進行判斷。如果它偵測到潛在的錯誤,比如將敏感的財務資料發給不尋常的收件人,它不僅僅是封鎖電子郵件,而是即時提醒使用者,將潛在的資料外洩事件轉變為可教學的時刻。
PhishER Plus 提供安全網的第二道防線。只要有一位使用者舉報網路釣魚郵件,就能啟動自動化的事件回應流程。它利用 AI 立即對威脅進行篩選,分析其組成部分,並能在幾分鐘內自動從組織內的每個收件匣中「移除」該郵件。這將一個人的警覺性轉變為整個企業的自動防護行動,將潛在的危機轉變為無事發生。
未來的安全不是在於為科技建立更高的防護牆,而是要理解、管理以及保障人類與其 AI 夥伴之間那複雜且強大的關係。我們擁有數據、架構和平台來帶領這股潮流。我們不只是保護您的員工;我們是在保障您未來的 workforce。
這個演進的自然下一步是開發能夠識別並回應可疑提示的AI代理,這需要相同的人類風險數據和行為理解的基礎。現在是採取行動的時候,因為網路安全的真正戰場已經不再是人類對抗機器,而是人類與機器的合作。
文章來源: The Hidden Cybersecurity Threat: Securing the Human-AI Relationship


