關鍵基礎設施 AI 安全
關鍵基礎設施中 AI 的安全測試:SCADA/ICS 整合、電網 AI、交通系統、水處理,以及 OT 與 AI 的匯流。
關鍵基礎設施 AI 代表兩個傳統上分離領域的匯流:控制實體流程的作業科技(OT),與依資料模式做決策的人工智慧。此匯流製造了 OT 資安與 AI 資安框架獨立時都無法充分處理的攻擊面。
關鍵基礎設施 AI 的定義性特徵是:失效可造成實體後果——停電、交通事故、水體汙染、通訊中斷。不像企業 AI 最壞情境通常是資料暴露或財損,關鍵基礎設施 AI 的失效可能危及人命。
IT/OT/AI 匯流
傳統 IT/OT 分離
關鍵基礎設施以往嚴格分離 IT 網路(企業 email、資料庫、Web 伺服器)與 OT 網路(SCADA、PLC、RTU、工控系統)。這道 air gap 透過隔離提供安全——即便企業網路被入侵,攻擊者亦無法觸及控制實體流程的系統。
AI 整合以數種方式侵蝕此分離:
傳統架構:
[IT 網路] --- AIR GAP --- [OT 網路] --- [實體流程]
AI 整合架構:
[IT 網路] <-> [AI 平台] <-> [OT 網路] <-> [實體流程]
| | |
雲端 API 模型訓練 感測器資料
資料湖 推論 API 控制訊號
AI 平台位於 IT 與 OT 之間,消耗 OT 系統的感測器資料,並可能送回控制訊號。此橋接角色意味著 AI 平台的入侵可於兩個方向傳播。
由 AI 整合衍生的新攻擊向量
| 向量 | 說明 | 影響 |
|---|---|---|
| 感測器資料投毒 | 操弄 AI 的感測器輸入以造成錯誤控制決策 | 實體流程中斷 |
| 模型操弄 | 更改 AI 模型以產出危險控制輸出 | 設備損壞、安全危害 |
| 推論延遲攻擊 | 於時間關鍵流程中減緩 AI 決策 | 流程不穩定 |
| 訓練資料投毒 | 投毒預測性維護或控制最佳化模型所用之歷史資料 | 長期退化 |
| 數位孿生發散 | 使數位孿生與實體系統發散,掩蓋真實問題 | 未察覺之失效 |
各產業特定考量
能源
發電、輸電與配電日益仰賴 AI 進行負載預測、故障偵測、再生能源整合與電網最佳化。能源業彼此相連,AI 失效可跨電網連鎖。
主要攻擊面:
- 負載預測操弄 —— 讓 AI 高估或低估需求,造成發電/負載失衡
- 再生能源整合 AI —— 操弄太陽能與風力預測影響電網穩定
- 故障偵測規避 —— 讓 AI 錯過可能導致變壓器爆炸或線路故障之設備故障
詳細內容請見專門的 電網 AI 頁面。
交通
交通中的 AI 橫跨自駕車、航管、鐵路控制、海事航行與交通號誌最佳化。安全認證要求(航空的 DO-178C、汽車的 ISO 26262)增添監管複雜度。
主要攻擊面:
- 自駕車感知 —— 使路上物體被錯誤分類的對抗輸入
- 交通管理 AI —— 操弄而製造壅塞或危險交通模式
- 鐵路排程 AI —— 造成排程衝突或速度誤算之攻擊
詳細內容請見專門的 交通 AI 頁面。
水與廢水
水處理設施以 AI 進行化學劑量最佳化、汙染偵測、流量管理與預測性維護。對水處理 AI 的攻擊可影響公共衛生。
主要攻擊面:
- 化學劑量 AI —— 操弄 AI 造成處理化學品過量或不足
- 汙染偵測規避 —— 使 AI 錯過汙染事件
- 流量管理 —— 打亂配水模式
通訊
電信網路以 AI 進行網路最佳化、異常偵測、流量路由與容量規劃。隨 5G 網路部署 AI 原生架構,攻擊面隨之擴大。
主要攻擊面:
- 網路最佳化 AI —— 使 AI 資源配置錯誤、製造覆蓋缺口
- 異常偵測規避 —— 自以 AI 為本的入侵偵測中隱藏惡意流量
- 緊急服務路由 —— 操弄路由緊急電話之 AI
紅隊委任框架
以安全為先的方法論
對關鍵基礎設施 AI 的紅隊委任必須遵循以「避免中斷必要服務」為優先的安全為先方法論。
數位孿生驗證
驗證測試環境確實忠實複製生產系統。未忠實建模實體流程的數位孿生,可能隱藏漏洞或製造偽陽性。
安全邊界定義
明訂紅隊不可跨越之安全邊界——即使於測試環境亦然。這些邊界應由技術控管強制執行,而非僅靠政策。
升級程序
為「顯示對生產系統有即時風險之發現」建立明確升級程序。紅隊必須能在發現生產中可被主動利用之漏洞時,立即通知營運。
分階段測試
由被動分析(架構審視、資料流繪製)起步,再進展至主動測試。主動測試應自最不危險的攻擊向量起、逐步升級。
與營運團隊協調
所有主動測試須與營運團隊協調。確保營運人員知道測試正在進行、能區分測試活動與真實攻擊或系統失效。
顧及後果的測試
關鍵基礎設施紅隊測試須顧及 AI 失效的實體後果。不像企業 AI 測試只要找到漏洞即為成功,關鍵基礎設施測試必須謹慎評估:證明漏洞本身是否可能造成傷害。
關鍵基礎設施 AI 發現的後果類別:
| 類別 | 說明 | 範例 | 回應優先度 |
|---|---|---|---|
| 安全關鍵 | 漏洞可能造成傷亡 | AI 控制閥門超過壓力上限 | 立即通知、停止測試 |
| 設備損壞 | 漏洞可能損壞實體設備 | 預測性維護 AI 錯過軸承故障 | 當日通知 |
| 服務中斷 | 漏洞可能造成必要服務中斷 | 負載預測操弄造成停電 | 24 小時內通知 |
| 經濟影響 | 造成財損但無安全風險 | 電網最佳化 AI 增加成本 | 標準回報 |
| 資料暴露 | 暴露敏感基礎設施資料 | 經 AI 洩漏 SCADA 網路拓撲 | 標準回報 |
測試團隊須與營運團隊建立預先協定的通訊通道,使安全關鍵發現即便於非上班時間仍可立即升級。
測試優先序
於安全約束下,依「可能性與影響的交集」排序測試:
# 關鍵基礎設施 AI 測試優先矩陣
testing_priorities = {
"critical": [
"Sensor data poisoning affecting safety-critical controls",
"Model manipulation causing dangerous physical outputs",
"AI bypass allowing direct control of physical processes",
],
"high": [
"Predictive maintenance AI manipulation (delayed maintenance)",
"Load/demand forecasting poisoning",
"Anomaly detection evasion for physical intrusions",
],
"medium": [
"Digital twin divergence attacks",
"Historical data poisoning for model retraining",
"AI-based access control bypass for OT networks",
],
"lower": [
"Reporting and visualization AI manipulation",
"Non-safety administrative AI systems",
"Training data extraction from infrastructure models",
],
}法規地景
除一般 AI 治理要求外,關鍵基礎設施 AI 另適用各產業特定法規:
| 產業 | 主要監管 | 主要要求 |
|---|---|---|
| 能源 | FERC、NERC | NERC CIP 標準、FERC Order 2222(DER) |
| 交通 | DOT、FAA、NHTSA | DO-178C、ISO 26262、49 CFR |
| 水 | EPA | SDWA、AWIA 第 2013 條 |
| 通訊 | FCC | 網路可靠度要求 |
| 跨產業 | CISA | CPGs、Shields Up 指引 |
紅隊發現應對應至適用之產業特定標準,以確保對監管面具可行動性。
本章節內容
- SCADA/ICS + AI 攻擊 — 對與工控系統整合之 AI 的攻擊
- 電網 AI — 能源產業 AI 安全
- 交通 AI — 交通產業 AI 安全