分類: 安全與政策

「安全與政策」分類的 AI 新聞與論文。

• 微軟首席技術專家艾米·路特瓦克談AI如何改變網路攻擊形勢

  2025年9月28日

  cybersecurity 專家 Ami Luttwak 指出，網路安全是一場心理博弈，隨著企業加速將 AI 融入工作流程，攻擊面不斷擴大。Wiz 公司於今年初以 320 億美元被 Google 收購，其近期測試發現，在「vibe coding」應用中，身份驗證系統常因簡化開發而存在安全漏洞。攻擊者如今也利用提示工程、vibe coding 及自製 AI 代理來發動攻擊，甚至透過攔截內部 AI 工具獲取機密資料。上月，銷售 AI 聊天機器人 Drift 遭入侵，導致數百家企業客戶如 Cloudflare、Palo Alto Networks 及 Google 的 Salesforce 資料洩漏，攻擊者利用生成的程式碼偽裝聊天機器人並橫向移動。另一場名為"s1ingularity"的供應鏈攻擊發生在 8 月，針對 JavaScript 開發者常用的 Nx 系統，攻擊者利用 AI 工具掃描並竊取開發者憑證。儘管企業 AI 採用率僅約 1%，Wiz 已每週遭遇影響數千家企業的攻擊。Wiz 自 2020 年成立以來，已推出 Wiz Code 與 Wiz Defend 等產品以應對 AI 威脅。Luttwak 強調，創業公司應從第一天起就將安全與合規置於首位，即使只有五名員工也需聘請首席資訊安全官（CISO），並遵循 SOC2 合規標準，避免產生「安全債務」。對於目標為企業的 AI 新創，必須設計讓客戶資料保留在客戶環境中的架構。隨著 AI 技術民主化，從反釣魚到自動化防禦，安全領域正處於創新與挑戰並存的開放局面，所有安全環節都需重新思考以應對新型威脅。

• Spotify將標籖AI音樂、過濾垃圾訊息等並推出AI政策調整

  2025年9月25日

  Spotify 於週四宣佈了一系列 AI 政策更新，旨在更明確標示音樂中 AI 的使用情況，減少垃圾內容，並禁止未經授權的聲音克隆。公司表示將採用標準化行業標準 DDEX，用於識別和標記 AI 音樂，並推出新的音樂垃圾過濾系統。根據 DDEX 系統，唱片公司和分銷商需在音樂信譽中提交標準化的 AI 披露資訊，詳細說明是否使用了 AI 生成的人聲、樂器或後製。Spotify 全球市場與政策負責人 Sam Duboff 表示，AI 的使用是一個光譜而非二元對立，此標準將允許更準確的披露。同時，Spotify 明確禁止未經授權的 AI 聲音克隆、深度偽造及任何形式的人聲複製或冒充，並承諾移除違規內容。目前已有 15 家唱片公司和分銷商承諾採用該技術。針對 AI 工具降低音樂發布門檻所帶來的垃圾內容問題，Spotify 計劃在今年秋季推出新過濾系統，標記並停止推薦垃圾音樂。此外，公司還將與分銷商合作解決「資料檔不匹配」問題，防止有人將音樂非法上傳至其他藝人的帳戶。儘管如此，Spotify 強調支援真實負責任的 AI 使用，旨在幫助藝術家更具創意，同時打擊濫用系統者。近期 AI 生成音樂在行業激增，Deezer 透露其每日上傳音樂中約 18% 為 AI 生成，數量已超過 3 萬首，Spotify 也指出各流媒體服務的目錄幾乎相同。

• 史考特·威尼爾爭取讓科技巨頭揭露人工智能的風險

  2025年9月23日

  加州參議員斯科特·維尼（Scott Wiener）再次推動 AI 安全立法，此次為第 53 號提案（SB 53），旨在解決前一年第 1047 號提案（SB 1047）被加州州長加文·紐森（Gavin Newsom）廢除後留下的挑戰。SB 1047 曾要求科技公司對 AI 系統造成的潛在傷害承擔責任，引發矽谷領袖強烈反對，最終被廢除。相比之下，SB 53 更受矽谷歡迎，安提克（Anthropic）已明確支援，Meta 也表示支援平衡監管與創新。若透過，SB 53 將對年收入超過 5 億美元的 AI 實驗室，包括 OpenAI、Anthropic、xAI 和 Google，實施首批安全報告要求，使其必須公開最強大 AI 模型的安全測試情況。該法案專注於最嚴重的風險，如導致人類死亡、網路攻擊和生化武器。此外，SB 53 設立了員工向政府報告安全隱患的保護渠道，並建立州運營的雲端計算叢集 CalCompute，為 AI 研究提供資源。維尼認為聯邦政府無法有效監管，並批評特朗普政府將重點轉向 AI 成長而非安全，他強調加州應在確保創新不受阻礙的前提下領導國家 AI 安全事務。

• 為何加州SB 53可能為大型AI公司帶來重要制約

  2025年9月19日

  加州州議院最近正式透過了第 53 號法案（SB 53），該法案旨在加強人工智慧安全，現已送交州長加文·紐森（Gavin Newsom）簽署或否決。此法案由州參議員斯科特·維尼（Scott Wiener）起草，與去年他提出的第 1047 號法案（SB 1047）相比，SB 53 範圍較窄，主要針對年營收超過 50 億美元的大型人工智慧公司。TechCrunch 旗艦播客《Equity》的主持人馬克斯·澤夫（Max Zeff）和基爾斯滕·科羅塞克（Kirsten Korosec）在最新一集中討論了該法案。澤夫認為，由於聚焦於大型企業且獲得人工智慧公司 Anthropic 的支援，SB 53 成為法律的機率較高。該法案要求大型人工智慧實驗室發布模型安全報告，並在發生事故時強制向政府通報。此外，法案為實驗室員工提供了向政府舉報擔憂的渠道，使其免受公司簽署的保密協議（NDA）的阻礙。由於加州是主要人工智慧公司的聚集地，該法案被視為對科技巨頭權力的一種重要制衡。法案明確排除了小型創業公司，以避免影響加州蓬勃發展的創業生態系統，僅針對如 OpenAI 和 Google DeepMind 等年收入超過 50 億美元的開發者。然而，聯邦政府方面，特朗普政府目前採取不監管立場，並試圖在資金法案中加入禁止各州制定人工智慧法規的條款，這可能使加州等藍州與聯邦政府在此議題上產生衝突。