S0053重大

提示詞中無意洩露機密資訊

運行與監控

風險描述

使用者在與 AI 系統互動時,在提示詞中無意地輸入了機密商業資訊、個人隱私或受保護的智慧財產權內容。這些資訊可能被 AI 服務提供商記錄、用於模型訓練,或在多租戶環境中被其他使用者的查詢間接觸及。企業員工使用公共 AI 服務處理內部文件已成為重大資安事件的常見來源。

框架對照

iso 23894R1
tw principle隱私保護與數據治理
tw risk type部署互動問題(Deployment Interaction)

控制措施

  • 敏感資訊過濾閘門
  • AI 使用政策教育

處理步驟

  1. 部署提示詞敏感資訊偵測閘門,自動識別並警告機密內容
  2. 制定企業 AI 使用政策,明確禁止在公共 AI 服務中輸入機密資訊
  3. 提供企業內部部署的 AI 替代方案,確保數據不離開組織
  4. 定期舉辦 AI 安全意識培訓,教育員工辨識敏感資訊風險