行業新聞與部落格

該報告是根據關於安全、可靠和值得信賴的人工智慧開發和使用的第 14110 號總統行政命令編寫的，還就如何減輕此類風險向金融機構提出了一系列建議。

金融領域基於人工智慧的網路威脅

報告中接受採訪的金融服務和技術相關公司承認生成式人工智慧等先進人工智慧工具所帶來的威脅，一些人認為它們最初會讓威脅行為者佔據“上風”。

這是因為此類技術提高了惡意軟體和社交工程等攻擊的複雜性，並減少了技能較低的攻擊者的進入壁壘。

網路威脅行為者利用人工智慧攻擊金融系統的其他方式包括漏洞發現和虛假資訊，包括使用深度偽造品冒充執行長等個人來詐騙公司。

該報告承認，金融機構多年來一直使用人工智慧系統來支援運營，包括網路安全和反欺詐措施。然而，該研究中的一些機構報告稱，現有的風險管理框架可能不足以涵蓋生成式人工智慧等新興人工智慧技術。

許多受訪者表示，他們正在關注金融組織中使用的人工智慧系統面臨的獨特網路威脅，這可能是內部威脅行為者的特定目標。

其中包括資料中毒攻擊，其目的是破壞人工智慧模型的訓練資料。

報告中指出的對內部人工智慧解決方案的另一個擔憂是，人工智慧系統的資源需求通常會增加機構對第三方 IT 基礎設施和資料的直接和間接依賴。

受訪者表示，培訓資料的收集和處理方式等因素可能會使金融組織面臨額外的財務、法律和安全風險。

如何管理人工智慧特定的網路安全風險

財政部提供了金融組織可以採取的一系列步驟，以解決與人工智慧相關的直接操作風險、網路安全和欺詐挑戰：

• 利用適用的法規。雖然現有的法律、法規和指南可能沒有明確涉及人工智慧，但其中一些原則可以適用於人工智慧在金融服務中的使用。這包括與風險管理相關的法規。
• 改善資料共享，構建反欺詐人工智慧模型。隨著越來越多的金融組織部署人工智慧，大小機構之間在欺詐預防方面出現了巨大差距。這是因為大型組織往往比小型組織擁有更多的歷史資料來構建反欺詐人工智慧模型。因此，應該有更多的資料共享，以允許較小的機構在該領域開發有效的人工智慧模型。
• 開發資料供應鏈對映的最佳實踐。生成式人工智慧的進步強調了監控資料供應鏈的重要性，以確保模型使用準確可靠的資料，並考慮隱私和安全。因此，業界應該制定資料供應鏈對映最佳實踐，並考慮為供應商提供的人工智慧系統和資料提供商實施“營養標籤”。這些標籤將清楚地標識哪些資料用於訓練模型及其來源。
• 解決人工智慧人才短缺問題。敦促金融組織對技能較低的從業人員進行如何安全使用人工智慧系統的培訓，併為資訊科技以外的員工提供針對特定角色的人工智慧培訓。
• 實施數字身份解決方案。強大的數字身份解決方案可以幫助打擊人工智慧欺詐並加強網路安全。

該報告還承認，政府需要採取更多行動來幫助組織解決基於人工智慧的威脅。這包括確保州和聯邦層面以及全球範圍內的人工智慧監管協調。

此外，財政部認為，美國國家標準與技術研究所 (NIST) 的人工智慧風險管理框架可以進行定製和擴充，以包含更多與金融服務行業相關的人工智慧治理和風險管理的適用內容。

美國國內財政部副部長 Nellie Lian 評論道：“人工智慧正在重新定義金融服務領域的網路安全和欺詐，拜登政府致力於與金融機構合作利用新興技術，同時防範對運營彈性和金融穩定的威脅。