Bot可能成為資訊安全漏洞?

自從Facebook在不久前的F8大會開幕演說中介紹新的「智慧型應答機器人」(一般簡稱為「bot」)之後,bot彷彿成為一門顯學;除了透過自然語言應答方式進行電子商務或顧客服務之外,bot還有許多原本想像不到的新用途。

然而,雖然出自大廠的bot相對比較沒有惡意設計之類的安全考量,但已經有專家在擔心它可能會成為另外一個嚴重的安全漏洞。

§

在電子郵件剛問市的時候,諸如垃圾信、假廣告、假銀行、個資釣魚、病毒信件等形式的惡意郵件也應運而生;人們一開始也不太會辨別這些信件,所以「中獎」的案例所在多有。

不過隨著安全防護和過濾機制的成熟,現在這些機制多少可以幫我們過濾掉一些這類信件,常在網路上活動的人士也會有比較高的警覺性,亂按連結的狀況也比過去少得多。

而問世不久的bot也是一樣,目前並沒有明顯的準則或模式,可以讓我們很容易就知道是真是假、是否有惡意目的,讓我們在對談過程中無意提供了信用卡號碼之類的重要資訊。

當然,像Facebook Messenger、Slack、Kik、Telegram這類比較「有品牌」的公司所出的bot,理論上(在個人信任的前提下)會有比較高的安全性;但往後提供bot對談的app和服務勢必會越來越多,而良莠不齊(甚至來路不明)的這類app就可能成為資料出去、惡意軟體進來的安全漏洞。

由於bot功能通常就內建在app裡面,所以只要下載了某個app,就下載了這個bot,而這個app或bot是否值得信任、是否會在使用過程中趁機「吃裡扒外」竊取個人或登入資訊,一般用戶會很難察覺。

目前專家的建議是,以跟提防其他app或軟體一樣的態度來對待bot,以避免潛在危險:

  • 確定bot來自可以信賴的來源;

  • 如果不再使用的話就移除或關掉;

  • 或是完全不要使用。

當然,如果完全不用的話,也會損失一些享用便利服務的機會就是,端看個人取捨。[footnote]參考資料[/footnote]

§

目前在中文環境中,比較像是bot、而且運作了一段時間的機制只有蘋果的Siri(而且還是語音的);其他公司如微軟、Google、以及先前提到的Facebook,也都預定會推出語音或文字模式的bot。

以Siri來說,由於是蘋果本家內建在手機裡(據說Mac桌面版即將推出)、而且目前基本上只有「提供資訊」和「個人助理」(例如設定鬧鐘)的功能,尚不牽涉電子商務交易或敏感資訊提供,所以安全考量還比較小。

而Facebook則是把功能做出來,以「共用平台」的形式提供給特定廠商,理論上應該會追蹤審核,所以問題也稍小一點(但已經開始有比較大的安全考量)。

猜想往後應該會有廠商提供「bot引擎」的服務,讓沒有能力自己開發這種功能的公司能外掛上網站、或是內嵌進app中使用,而這種類型的bot服務就比較需要注意了(甚至可能會有內建惡意功能的「暗黑版引擎」在市面上流通……)。

好的bot應該不只是辨識指令之後,從資料庫找答案出來照本宣科,而是要有一些語意分析方面的人工智慧功能,所以要普及可能還需要一點時間;但如果是別有用心的這類功能,重點就不在這裡了。