阿摩線上測驗
35. 企業在導入生成式 AI 進行輔助程式開發時,評估其存在原始碼外洩與惡意程式碼注 入的風險。在不完全禁止使用的前提下,下列何項風險降低(Risk Mitigation)策略 最能兼顧安全性?
(A)僅允許使用企業地端部署或私有雲版本的 LLM 模型,並實施資料不落地政策
(B) 要求開發人員簽署保密協定(NDA),將風險完全轉移給員工個人承擔
(C) 部署資料外洩防護(DLP)系統過濾所有連外流量,阻擋所有含程式碼特徵的封 包
(D) 僅依靠公有雲 AI 服務供應商的預設隱私條款,視為風險已接受
答案:登入後查看
統計: A(9), B(0), C(10), D(0), E(0) #3871570
統計: A(9), B(0), C(10), D(0), E(0) #3871570
詳解 (共 1 筆)
肥李
#7370678
正確答案:(A) 僅允許使用企業地端部署或私有雲版本的 LLM 模型,並實施資料不落地政策
核心原因解析
- 防止原始碼外洩:地端(On-Premise)或私有雲部署確保企業的機密原始碼不會傳輸到外部第三方伺服器,從根本上杜絕資料被用於公有模型訓練的風險。
- 資料不落地政策:限制 AI 生成的程式碼或企業暫存資料儲存在未受控的端點,確保開發過程在安全邊界內執行。
- 阻絕惡意代碼注入:私有環境可整合內部的靜態程式碼分析(SAST)與資安審查機制,在 AI 生成代碼進入生產環境前進行過濾與防護。
其他選項缺點
- (B) 要求員工簽 NDA:屬於風險轉移與法規手段,無法從技術層面阻止原始碼外洩或惡意程式碼注入,無法降低實際資安風險。
- (C) 部署 DLP 阻擋所有程式碼封包:這會徹底阻斷開發人員使用公有雲 AI 服務的能力,與題目「不完全禁止使用」的前提相衝突,且會嚴重影響開發效率。
- (D) 僅依靠公有雲預設條款:屬於消極的風險接受,公有雲的隱私條款無法防止 AI 模型產生「幻覺」並注入具安全性漏洞的惡意代碼(Prompt Injection 或不安全代碼生成)。
0
0