商傳媒|林昭衡/綜合外電報導
隨著大型語言模型(LLM)的應用日益普及,其分散式資料存取與互聯特性,正挑戰傳統資安模式。由 Anthropic 主導的 Model Context Protocol (MCP) 雖讓 AI 模型能直接存取外部資料與工具,卻也大幅提升資安複雜度。資安專家警告,「先竊取、後解密」(Harvest Now, Decrypt Later, HNDL)的量子威脅已是現實,惡意行為者正竊取加密的 AI 訓練資料,期待未來量子電腦能利用蕭爾演算法(Shor’s Algorithm)解密這些數據。
現有的 RSA 和 ECC 加密標準在量子運算前將不堪一擊。IBM 2024 年報告指出,資料外洩的平均成本已達 488 萬美元,凸顯了強化資安的迫切性。為應對此挑戰,資安廠商 Gopher Security 提出一套 4D 框架,旨在快速部署後量子去中心化政策執行方案,強化 MCP 伺服器的安全防護。
此框架的核心在於採用後量子加密技術,特別是基於格點(lattice-based)的密碼學。這類加密方式利用高維空間中的點陣格,提供抗量子攻擊的能力,且計算開銷低,儘管封包大小會較傳統 ECC 加密更大。Gopher Security 的框架透過自動化閘道,將現有 API 呼叫包裹在後量子加密通道中,實現點對點(P2P)的量子抗性連線,確保模型與資料庫之間的直接通訊安全,並消除傳統中央伺服器可能造成的單點故障風險。此外,資安防護部署於「邊緣」位置,靠近資料源頭,可加速 AI 運作而不會產生效能瓶頸。
除了量子威脅,大型語言模型也面臨「提示注入」(prompt injection)等風險。Palo Alto Networks 在 2023 年的研究即強調,提示注入透過直接與模型邏輯互動來繞過傳統過濾器,構成重大威脅。Gopher Security 的框架導入動態政策,能依據使用者即時情境調整權限,而非採用靜態角色設定,有效防範 AI 被惡意提示誤導執行非預期操作(例如防止 AI 在無人類授權下執行「刪除使用者」功能)。結合 AI 驅動的行為智慧,系統可即時分析 AI 動作,偵測異常行為,例如金融聊天機器人在非正常時段要求敏感薪資資料時,可立即中斷連線。
為確保 AI 安全運作的透明度與合規性,零信任(zero-trust)原則至關重要。框架強調去中心化識別碼(DID)的應用,使每個 MCP 工具和模型都能擁有可驗證身份,進行點對點認證。同時,系統會將分散的日誌聚合至單一儀表板,透過加密聚合或簽名於邊緣的不可變分類帳,提供全面的可視性,以便追溯從使用者提示到最終資料庫查詢的整個請求路徑,並進行資安鑑識與異常行為即時警報。實施這些先進的資安措施,目標是確保未來長達二十年內,關鍵資料都能維持安全無虞。
