關鍵基礎設施 AI 風險
能源、水資源、運輸等關鍵基礎設施中的 AI 安全風險。
概覽
能源、水資源、運輸等關鍵基礎設施中的 AI 安全風險。
本主題是理解當前 AI 安全態勢的核心,已獲大量研究關注。Promptfoo — github.com/promptfoo/promptfoo 為本文探討的概念提供基礎脈絡。
核心概念
基本原理
關鍵基礎設施(CI)指若中斷將嚴重影響國家安全、經濟安全、公共衛生或安全的系統與資產。將 AI 引入 CI——無論是能源網格最佳化、水處理預測、運輸流量管理或通訊路由——同時帶來效率提升與新攻擊面。
此處的安全意涵源於 AI 模型的本質架構特性:模型對上下文中所有輸入一視同仁,無法區分授權指令與對抗性內容。當 AI 決策影響實體基礎設施(開關電網、調節水流、路由交通)時,對抗性操縱可造成實體衝擊。
技術深入剖析
CI AI 的攻擊面跨多層:
- IT 層:CI 營運商使用的辦公 AI(文件處理、排班)——風險類似一般企業 AI
- OT 層:工業控制系統(SCADA、DCS)引入的 AI 最佳化元件——高風險,因直接影響實體流程
- 感知層:CI 環境中的感測器與電腦視覺(變電站監控、水質感測)——對抗樣本可欺騙偵測
- 預測層:負載預測、故障預測、需求預測——資料投毒可誤導營運決策
關鍵基礎設施 AI 威脅建模特別需注意 IT/OT 匯流。傳統上 OT 系統隔離於 IT 網路,但 AI/機器學習的導入——需要訓練資料、模型更新、遙測回傳——常創造新的 IT-OT 連結,成為攻擊跳板。
攻擊面分析
| 攻擊向量 | 進入點 | 典型衝擊 | 防禦方式 |
|---|---|---|---|
| 感測器資料投毒 | 現場感測器或歷史資料 | 預測/控制決策錯誤 | 感測器融合、異常偵測 |
| 模型更新供應鏈 | OTA 模型更新機制 | 部署惡意模型至現場 | 模型簽章、來源驗證 |
| IT-OT 跳板 | 營運商辦公 AI | 取得進入 OT 的踏腳石 | 嚴格網路分段 |
| 預測模型注入 | 文字型操作員介面 | 誤導人員決策 | LLM 輸入/輸出過濾 |
實務應用
實作方法
CI AI 紅隊測試需極端謹慎:
- 僅於測試/模擬環境進行:絕不對生產 CI 進行對抗測試
- 模擬器優先:使用如 OpenDSS(電力)、EPANET(水)、SUMO(運輸)的模擬器
- 紅隊藍隊協同:與 CI 營運商的安全與工程團隊緊密合作
- 監管配合:依 NERC CIP(北美電力)、歐盟 NIS2 等法規要求報告
實務上會建立 CI 特定的測試管線,整合模擬器與 AI 模型。例如以 CIRedteamFramework 類別管理測試生命週期,提供方法 simulate_sensor_poisoning、test_model_update_injection、evaluate_safety_impact,並將結果對應至 IEC 62443 安全等級。
防禦考量
- 縱深防禦整合 OT 架構:Purdue 模型層級隔離、單向閘道器用於從 OT 到 IT 的資料流
- AI 專屬控制疊加於既有 OT 安全:不取代傳統 OT 安全,而是補充
- 形式化驗證關鍵 AI 元件:對控制決策 AI 使用有界驗證
- 人機協作強化:AI 提供建議,人員做最終決策
- 持續威脅建模:隨 AI 能力演進定期重新評估
真實世界相關性
- 普遍性:CI 導入 AI 為全球趨勢,歐盟、美國、中國、日本、台灣皆有大型計畫
- 衝擊:成功利用可造成停電、供水中斷、運輸癱瘓
- 持久性:CI 系統生命週期長(20-40 年),設計階段的 AI 安全決策影響深遠
- 法規:NERC CIP、EU NIS2、Taiwan TW-ISAC 指引等要求 CI 營運商實施安全控制
當前研究
- AI 於 ICS 的安全最佳實務:NIST、IEC、IEEE 正開發針對 ICS 中 AI 的指引
- 形式化方法:對控制決策 AI 的形式化驗證研究
- 聯邦學習於 CI:跨營運商資料共享的隱私保護技術
- 數位孿生安全:CI 數位孿生的安全模型
實作考量
架構模式
完全隔離模式:AI 僅用於 IT 層,OT 層無 AI。最安全但限制效益。
單向流入 AI 模式:IT 層 AI 接收 OT 資料(單向閘道器)以進行最佳化分析,產生建議予營運人員,但無 AI 至 OT 的寫入路徑。
監督式 AI 控制模式:AI 可直接控制 OT,但所有決策經即時安全監督器檢查。此模式需經嚴格認證。
效能影響
CI 對即時性要求嚴苛(毫秒至秒級),AI 模型需在此限制內完成推論。縱深防禦層加上延遲需權衡。
監控與可觀測性
CI AI 監控需整合既有 SCADA 歷史紀錄。AI 決策稽核與 OT 操作稽核需關聯以支援事件回應。
新興趨勢
當前研究方向
- AI 輔助的 ICS 入侵偵測:AI 偵測 OT 異常——但該偵測本身成為攻擊目標
- 跨域 AI 攻擊:利用一個 CI 領域的 AI 弱點影響相依的另一領域(如電力影響水處理)
- 對抗性韌性認證:國際標準正在開發
- 量子後密碼學整合:CI 長期部署需考量後量子世代
進階考量
不斷演進的攻擊態勢
AI 於 CI 仍為早期階段:多數 CI 營運商仍在試點 AI,尚未廣泛部署於關鍵控制決策。現在建立的威脅模型將塑造未來十年的 CI AI 安全實務。
國家級威脅行為者的關注:CI AI 攻擊具國家戰略意涵,APT 群體與國家支持攻擊者積極研究此向量。
跨域安全原則
- IT/OT 邊界嚴格管理:AI 的引入不得削弱此邊界
- 最小權限原則延伸至 AI:AI 元件的權限應嚴格限制於其實際需求
- 可解釋性為合規要求:CI AI 決策需可解釋以支援事件調查
- 供應鏈完整性:AI 模型、訓練資料、依賴函式庫皆需來源驗證
- 持續紅藍對抗:CI AI 的威脅環境快速演進,持續測試必要
與組織安全整合
| 安全領域 | CI AI 專屬整合 |
|---|---|
| 身分與存取 | OT 環境 AI 元件的零信任存取 |
| 資料保護 | 營運資料分類、感測器資料完整性 |
| 應用安全 | CI AI 威脅建模整合 IEC 62443 |
| 事件回應 | OT 與 AI 事件的協調回應流程 |
| 合規 | NERC CIP、NIS2、國家 CI 法規 |
| 供應鏈 | AI 模型與資料來源驗證 |
未來方向
- CI AI 的形式化安全標準持續成熟
- 國際 CI 資訊分享(ISAC)擴展至 AI 威脅
- AI 輔助事件回應 vs 對 AI 本身的事件回應
- 標準化 CI AI 認證框架
參考資料與延伸閱讀
- NIST SP 800-82 — Guide to ICS Security
- IEC 62443 — 工業自動化與控制系統安全
- NERC CIP 標準
- 歐盟 NIS2 指令
- CISA ICS-CERT 公告
- Zou et al. 2023 —「Universal and Transferable Adversarial Attacks on Aligned Language Models」
為何 AI 於關鍵基礎設施的引入特別需關注 IT/OT 邊界?
下列何者為 CI AI 紅隊演練的正確做法?