軍民兩用

「軍民兩用」（Dual Use）最初源於國際出口管制，指同時具有民用與軍事用途的商品、軟體或技術。在人工智慧（AI）領域，此概念延伸指那些為良善目的開發，卻可能被用於惡意活動的AI模型或系統。例如，一個強大的語言生成模型，既可用於撰寫學術論文、輔助程式設計，也可能被濫用於製造大規模假訊息、撰寫釣魚郵件或開發惡意軟體。在風險管理體系中，軍民兩用風險屬於操作風險與聲譽風險的交集。根據NIST AI風險管理框架（AI RMF 1.0），組織必須在AI生命週期的「測量」（Measure）階段，分析與評估AI系統可能造成的負面衝擊，其中就包含潛在的濫用情境。這與傳統資訊安全風險不同，後者多關注系統漏洞，而軍民兩用風險則更側重於系統「預期功能」的惡意應用。

企業可透過以下三步驟將軍民兩用風險納入管理框架： 1. **識別與評估（Identify & Assess）**：在AI模型開發初期，成立由技術、法律、倫理專家組成的跨領域團隊，採用「紅隊演練」（Red Teaming）方法，主動探索模型所有潛在的惡意用途。此步驟應記錄於風險登錄表中，並根據NIST AI RMF的指導原則進行影響評估。 2. **緩解與控制（Mitigate & Control）**：針對已識別的風險，部署技術與程序性控制措施。技術措施如設置內容過濾器、限制API查詢速率、監控異常使用模式；程序性措施則包含制定嚴格的「可接受使用政策」（AUP）、對高風險應用的客戶進行盡職調查（KYC）。 3. **治理與監控（Govern & Monitor）**：建立AI倫理委員會或指定專責單位，定期審查軍民兩用風險的控制成效，並根據外部威脅情資與模型能力的演進，持續更新風險評估。導入此類框架的企業，如OpenAI對其GPT模型的部署，透過分階段發布與外部研究員測試，成功將濫用事件發生率降低，並提升了對歐盟《人工智慧法案》等新興法規的合規率。

台灣企業在導入軍民兩用風險管理時，主要面臨三大挑戰： 1. **法規模糊性**：台灣目前尚無針對AI的專門法律，企業需依循國際標準如ISO/IEC 42001（AI管理系統）與NIST AI RMF，但缺乏本地化的具體指引，導致合規路徑不清晰。 2. **資源與人才限制**：多數中小企業缺乏預算聘請專職的AI倫理專家或進行昂貴的紅隊演練。同時，市場上兼具AI技術與社會倫理風險評估能力的跨領域人才供給不足。 3. **資料治理基礎薄弱**：有效的濫用監控高度依賴高品質的標籤化資料與健全的資料治理流程，許多企業的資料基礎建設尚未到位，難以支撐進階的風險偵測模型。 **對策**： * **優先行動**：企業應立即採納NIST AI RMF作為內部管理框架，並從最關鍵的AI應用開始進行小規模的風險評估（預計時程：3個月）。 * **解決方案**：與外部專業顧問合作，如積穗科研，導入成熟的風險評估方法論與工具，並透過工作坊形式培養內部種子人員（預計時程：6個月）。同時，應將資料治理升級列為IT部門的關鍵績效指標，逐步強化監控基礎。

積穗科研股份有限公司專注台灣企業dual use相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact