「零信任」的意思是不要盲信單一系統或者是單一廠商,因為如果你盲信,它被攻破了,你就跟著被攻破,你就變成攻擊者的跳板,但是盲目相信你的人就倒楣了,因為它又會變成下一個被攻擊的,所以大家提高警覺心才可以維繫在數位世界裡面變成值得信任。
很像你有大門、內門、自己的房間門,如果這三個門用同樣的鎖,甚至鑰匙也是同一把,就跟沒有是一樣的道理,只要破解了就三道門都破解了,但是你這三道門,有的是喇叭鎖、有的是數字鎖、有的是指紋鎖,而且每個都是不同的廠商,我們可以說是對任何特定某一道門的鎖廠商是零信任,也就是不盲信其中一道,但是這三個加起來有一個縱深,而這個縱深值得信任。
這個其實很容易解釋:所謂的「ZTA」講的是,不要盲目去信任單一的廠商或者是單一的系統,所以像我在簽公文的時候,我驗我的指紋是一個系統,也就是 TW-FidO,但是驗我的裝置是另外一個系統 CrowdStrike,驗我的行為又是另外一個系統 Cloudflare,所以零信任的意思是層層把關,而且每一關跟相鄰的關卡並不是同一家廠商,這樣你不需要全然信任任何人,它們中間不值得你信任的時候,會被旁邊的兩層發現到,它的傷害就不會擴大。
對,你想成教小孩,小孩如果在上小學的過程中、社會化的過程中,從來沒有碰過身心障礙者,那 可能就會有一些刻板印象,但是如果是一些共融式的學習,就大概知道要怎麼樣從那個角度來看世界等等。
他們有做過實驗,透過這種群眾制定出來的憲法,它的能力並不比實驗室的科學家自己寫的來得差,但是在注重不要歧視、能夠符合社會常規等等方面就比較好,所以如果比較 Claude 3 的 Opus,也就是他們最新的模型,對於好比像身心障礙者的瞭解,就比起上一代沒有做過憲法對齊的 Cloude 2 好很多,為什麼?因為出在群眾參與的時候有一些身心障礙者參加。
現在新一代的模型,因為你要找那麼多人跟他對話,像 OpenAI 當時找了很多肯亞人跟他對話,成本真的很高,所以「憲法式的對齊」,如果你要自己調校的話,是比較多人來採用。像 OpenAI 的主要競爭者,也就是 Anthropic 最近才推出了 Claude 3 的 Opus,應該是第一個在全方面都不比 GPT 4,而且很可能比 GPT 4 好的模型,而這個 Opus 這個模型就是用我剛剛分享的那個連結,也就是群眾討論出來的憲法來幫助對齊。
回答你的問題:可以是透過一題題跟 AI 回答,說這種回答好、那個回答壞,可以這樣子,但是你也可以比較抽象去制定一份很像憲法一樣,交給語言模型,自己跟自己對話,然後就去判斷是不是符合你這邊憲法文件的要求,然後讓他自己來訓練自己,這個一般來講訓練成本是比較低的,因為需要共創一份文件,不需要一直回答它上萬份的對話,這個叫做「憲法式的對齊」。
但是,其中 A 這一群人佔 70%,認為越邊緣化的這些少數群體,AI 在回答的時候積極照顧到他們的需求,但是 B 這一群是佔 30%多是不同意這樣的講法,所以看這個報告的話,就可以看到這 1,000 個美國抽樣出來的人裡面,有哪一些共同的價值、哪一些不同的價值,這一些價值加起來就會是一份所謂的「憲法文件」,這份文件告訴 AI 說在回答的時候,你要考慮到這一些價值出來。
我這邊有貼 CIP 跟 Anthropic 合作的報告,裡面就是用了 Polis 的技術,然後發問卷問了 1,000 個人,他們有各自不同的偏好,但是他們也有相同的一些偏好,所以舉例來說,好比像有一些相同的部分,比如 AI 不應該用種族歧視或者是性別歧視的問題來回答問題,這兩群人的想法是一樣的。
但是如果今天是科幻小說的作家,他們的文件跟你不一樣,希望盡可能有創意、盡可能亂講也沒有關係,只要聽起來合理就好,因為反正是寫小說等等,所以你們兩邊會有不同對齊的標的,但是同一個模型,只要是開放的模型,你們下載下來之後就可以自己做對齊、微調,然後統一份模型就被訓練成符合你們、符合他們兩個不同的版本。
沒有錯,比較流行的做法,也就是「Collective Alignment」,就是「群眾對齊」,我們先找一群人,這一群人可以是像商週編輯部的所有同事,這群人先在共筆上寫下來你們覺得 AI 怎麼樣做比較對、怎麼樣回答比較好,好比像你們注重追求來源的真實性,可能都要去做 fact check,如果沒有足夠的證據支持的話,應該要寧可說不知道,並不是講一些幻想的東西等等。
對,而且幾乎一定要這樣子,很多問題在社會裡面確實是有不同的常規,所以不可能是完全由加州、矽谷訓練出來,然後就放諸四海而皆準,大家都支持,不會是這樣。
那就是要往你對齊,也就是所謂對齊的意思,雖然沒有對錯,但是你覺得這個回答比另外一個好,我在影片裡面舉的例子是:「在開發 AI 的時候,請問性別角色扮演什麼作用?」有一種回答是,應該是促進多元共融、照顧性別需求等等,另外一個回答是,其實很簡單,也就是男性去當工程師、女生去當設計師或者是美術相關的,你要說哪一個一定正確,在不同的社會裡面認同不同答案的人比較多,但是我們希望他往第一個方向回答,所以就把第一個標成正確答案、把第二個標成錯誤的答案,並不是指放諸四海而皆準一定都正確或者是錯誤,但是我們希望往前面這一個部分來對齊。
因為獎懲就看題目答對或者是答錯,任何人只要給一系列的問題或者是正確或者是錯誤的答案,任何人都可以做這種對齊微調,所以不需要工程師,而是需要出題目的人。
所謂的強化學習意思,AI 系統做出一個判斷的時候,像下棋下贏或者是下輸,當然會回想是下那一步棋,讓自己下贏或者是下輸等等,其實人類也是一樣,你如果下五子棋或者是西洋棋,就會去回想是哪一步下錯了,才會導致輸掉的結果等等,這個就是自己腦裡會有一套獎懲系統,也就是下棋的時候,並不會每一次、每步,老師都來跟你說下這邊會更好、下那邊更好,很多時候是你下完或者是玩電動遊戲,事後因為這一盤輸得比較早或者是得分比較低,就去想哪裡做錯、可以改一下策略等等,所以強化學習的意思,告訴這個 AI 系統是哪一些表現好,就會去強化系統裡那一些的神經,然後如果哪一些表現不好,就會弱化這些部分的神經,大概就跟人類學習是類似的意思。
就會養這些帳號,讓他們平常看起來是很正常的帳號,但是需要操作的時候,就突然跑到一個地方留言等等。
當然 AI 臉書自己或者是其他平台也有去偵測協同操作的方法,但是雙方武力競賽,總是可以到某個程度到沒有辦法辨別出來,以前上千個帳號都發罐頭訊息,任何人或者是演算法一眼就可以辨認出來,現在因為有生成式 AI,很容易讓它每個看起來都很像有一個不同的照片、不同的臉,互相可以加朋友、拍照跟打卡等等,看起來很像有生活史一樣,這些都是假的,都是 AI 生成的。
很多人也有小帳,也就是工作帳號,說不定還有一個私人帳號,事實上在臺灣有兩個臉書以上帳號的人並不少。
或者根本也不是一個,而是那個人寫完程式之後就去做別的事了,但那套系統就一直在這邊跑。
好比你有 1,000 個帳號,這 1,000 個帳號在差不多的時間貼文,貼的方向差不多,但是字句都不一樣,這不是 1,000 個真的人,而是一套 AI 系統用 1,000 個帳號在貼,這個就是協同操作。
這個就是放大某件事,當時 AZ 確實在歐洲剛開始打的時候,有一定程度發現血栓,但是那個發生率非常非常低,但是會不成比例放大那些個案,所以你說它完全是假的嗎?也未必是假的,而是放大有情緒的部分。
希望操作成你看到某個字就想到某種情緒,就想要操作出這種聯想,好比像看到 AZ 疫苗,假設就想到血栓,然後就不想打。
對,這些都有滿清楚的一些研究方法,這一些特定情緒目標大概都是激化對立,但是激化對立的情緒,本身不一定一樣,有些可能是仇恨、有些可能是恐懼、有些可能是不安等等。
如果去看像人工智慧實驗室,他們有一個網站是「Infodemic.cc」,在上面就有相當多這方面的報告,包含接近選舉時的這種報告,又或者他們也有做關於在美國想要操作 TikTok 的報告等等,這些都可以在「Infodemic.cc」的網站上看到;除了「Infodemic.cc」之外,國內還有像 IORG、Doublethink Lab 等等做這方面的研究。
因為我們的主要論述是靠資訊透明,讓大家知道實際的副作用是什麼,或者幾歲到幾歲的人願意打 AZ、幾歲到幾歲願意打 Moderna 或者是 BNT 又或者是高端各多少,我們是透過透明的方式來降低大家的不安,促進大家不管是哪一個品牌就趕快去打疫苗,所以要反著這個操作,就創造一些陰謀論跟不舒服的情緒。
有一個可能性,如果大家都拒絕打 AZ 或者是 Moderna 等等的話,可能為別的疫苗品牌創造條件,又或者是讓大家不敢打疫苗的這一件事就可以激化對於防疫團隊不滿的感覺,這也是一種可能性,總之大概都是要跟我們當時疫情指揮中心的論述去競爭、強化這種我們的民主體制事實上沒有辦法對付疫情的一種論述。
如果你去看國防安全研究院,他們就有觀察分析協同操作,那一份資料應該叫做「激化情緒對立的口水戰」等等。這個報告裡面就有很具體的煽動情緒的敘事,他們當時挑的是疫情時的討論,他們發現到第一批疫苗來的時候,這些會特別強調什麼?像副作用、血栓、停用、拒打、不敢打等等,在激化或者是強化大家對於第一批 AZ 疫苗來時不安的感覺,所以並不是這一些協同操作的帳號一定想要支持哪一個政治人物跟政黨,他們是要激化民間的對立跟仇恨。
但是不可能做到這麼徹底,尤其像我是公眾人物,不可能不對外發表聲音,所以當然治本的方法是,辨認那個方法,好比你媽一定有你的手機號碼,如果不是從那個打來,根本就不要相信,完全假設是假的。
很可能就是蠻像的。好比你之前真的有接過一些聽起來像汽車貸款、直銷的電話,你真的有跟他講個幾句話,那個集團就有你的聲紋了。
也不一定是準確知道,可以用猜的,好比像你有在他的臉書上按讚或者是有分享關於你的消息等等,長此以往,或者是你們有合照的照片出現在他們看得到的地方,他就可以猜,因為他猜錯並沒有成本,他猜錯就再騙下一個人就好了。
他不需要鎖定,通常亂槍打鳥,可能就下一個廣告,如果有看到那個廣告,點進去,好比像某個名人教你看股市、讀書會等等,也就是願者上鉤,下廣告的人不需要認識你,但是當你點下去的時候,就開始認識你了。
這個是一種做法,或者是用廣告的阻擋器,現在很多廣告阻擋器會內建反追蹤的功能,這個也是一種,所以不但廣告看不到了,追蹤的像素也看不到了。又或者是如果要自己查詢生活上的事,還有跟你工作上的東西,你分開用不同瀏覽器來處理等等,當然都有一些方法,可是如果硬要追蹤的話,還是都追蹤得到,所以我覺得並沒有完全停止追蹤這一件事,主要是假設被追蹤到了、被建模了,然後有人冒充你去欺騙親朋好友,親朋好友還是要有這個警覺,不管聲音再像、講的內容再像,或者是臉型再像,除非你們事前有約定是在用這個電話號碼打,或者是用這個帳號打,不然絕對不要相信換了帳號、換電話號碼等等的這種說法,這個才是最重要的。
對,好比你在網站上查詢關鍵字或者是缺購物網站等等,如果那個購物網站上面有買 FB 或者是其他的追蹤器,這樣 FB 就會知道你在網站上的行為,等到你回到 FB 的時候,你就會看到相關的廣告了。
你剛剛講的是行為的部分,當然如果能夠知道你按什麼東西讚,或者是對什麼東西有興趣、常常在哪裡留言,當然就比較容易建模,比較知道你的喜好是什麼。但是即使完全沒有這些,其實是可以用一些方式來推敲,好比像可以快速展示出一串你可能感興趣的主題,看你在哪一個上面停留比較久等等的這些方法,所以你不一定要主動打字或者是拍照來提供這一些這個網站本身或者是 APP 本身,也可以靠你的注意力停留多久就可以判斷出你的喜好。
我們剛剛講到的是生物特徵,聲紋是一種生物特徵,或者是你的照片,現在拿幾張照片就可以合成完全轉 360 度都看不出破綻的人臉等等,這個都是屬於深偽的部分。
沒錯。
現在像 OpenAI 的 Voice Engine 這麼好的技術、高檔的技術,像 ElevenLabs 等等目前還是商用,但是如果是有一些開發能力的話,你用開放源碼的模型,也可以做到 7、8 成,它可能需要訓練的時間要比較久,可能並不是 15 秒,而是需要 150 秒,但是如果是公眾人物的話,要取得我 1,500 秒講話的錄音也是非常容易的事,目前大概是差在需要多少訓練的時間,以及合成多語言口氣上精確的程度,但是要合成到可能 8、9 成都不困難,大概都可以免費取得。
大概 15 秒左右。好比像你剛剛是用華語跟我講話,但是只要有你的聲紋模型,像 OpenAI 有一個 Voice Engine,你講英文的部分,我也可以現在合成。
舉例來說,我現在亂數隨機打電話,剛好打到你的號碼,你接起來說「喂」,我說「請問願不願意填個問卷」,你說「不用,我沒有這個需求等等」就掛了電話,只需要這十幾秒的時間,你的聲音聲紋就已經被錄製了,錄製之後下一次我就可以用你的聲音去跟人說話,所以不需要你自行提供我什麼,光是你接起電話開始講一段話、10 幾秒的時間,就已經足夠知道你講話的口吻等等,就可以合成你的聲音。
這部份,如果資訊服務的承商也加入 TWCERT/CC 的話,資安院自行研發的這些系統,也可以做相關的技術轉移,甚至是透過 Public code 等等的方式,因為我之前也有跟院長期勉其實有一些是要整個行業都採用才發生價值的,類似技術標準的東西,這個我們去收授權金其實是沒有意義的事情,不如都等大家都採用韌性、強度比較高的元件之後,真的需要服務了,再按照每個小時收顧問費,可能還比較容易一點,這點我想也是接下來資安院在面對 TWCERT/CC 會員及民間的另外一個重點,也就是主動開發出來一些技術、相關元件來進行分享跟導入。
因為工程會大家知道從去年底跟我們非常緊密一起合作,在政府資訊服務採購的革新,特別是把資安入規是新的部分,這個規範不是一簇可及,是逐漸來達成,但是在過程中,只要做政府資訊服務相關的廠商,之後會有非常明確的,甚至 SLA,就是供應服務中斷可容許程度等等,這些部分大概都會有明確的定義跟相應的價碼,要怎麼樣達到這些,需要的不只是傳統上我們資訊服務去驗收等等,而是在最前端的韌性,就要用一些可用性比較高、易用性比較高等等元件。
因為政府機關是在別的系統,TWCERT/CC 是民間。
行政法人的管理方式是不一樣的(笑)。
還有另外一個好處,在進行這樣的工作的時候,有吸取一些通案性的教訓等等,或者通案性在源頭可以改正的,就像我剛才所說的,可以透過 TWCERT/CC 的會員、透過軟性的方式,如果不想變成下一個,可以考慮導入這樣的系統,希望有回答這個問題。
我想我們在這個過程中,並不是完全沒有類似行政調查、督導跟稽核,而是概念上在這些行動上是未來獨立的個資會或者現在的目的事業主管機關來帶頭,但是實際上我們的人,因為行政法人在執行這些相關公務事情的時候,是比照公務員的,所以可以進行這方面的工作。
我還是回應一下不能拿棒子的部分,個資法修嚴之後,這句話可能不能這麼適用。當然資安事件當中分成相當多不同的資安事件,但是在個資的相關事件上,雖然是用的是個資法,這兩個是分別適用的,但是因為不管是獨立的個資會或籌備處,目前跟我們資安院非常緊密合作,在重大事件、行政調查等等,理論上在個資法上行政調查時,拿棒子的並不是我們,而是目的事業主管機關、地方政府或者獨立的個資會來督導他們,但是實務上真的派去的專家就是 TWCERT/CC 或者是資安院。
在交接的過程中,我也有跟黃候任部長說,最重要的一些作用法,像是《電子簽章法》應該很快就會三讀通過,又或者《資安法》的修法、《詐欺危害防制條例》(俗稱的打詐專法)裡面,現在都承擔了一些社會各界都覺得應該要主動出來承擔的任務,包含線上廣告等等,這些我們都會盡快在 520 之前就把他提出到立法院,也處理到一個段落,這樣黃候任部長上任時,就可以來進行相關的施政。
這部分我好像有回答過,我的心情是「我很放心」,之前有講過。黃候任部長確實在這方面,不管是資安、AI、隱私強化技術等等,都非常嫻熟,我們也已經開始啟動交接。
這些包含遊戲產業、從 4 月 15 日開始成為像 FB、Google 的網路平台主管機關等等,這些我們都不會滿足於在事後做行政調查或者做應處,每次看到這些常見的態樣,就會跟數位產業署來進行討論如果在前端防止、預防勝於治療,先導入怎麼樣的數位信任技術,其實後面根本就不會發生這樣的事,所以我想從後面的應處一路往前到前端防護,不只是像在政府當中透過數位韌性巡檢來做,我們也透過數位產業署跟各行各業在數位轉型的時候,也來協助他們,很謝謝資安院的貢獻。
剛提到數位產業署,因為在有數位部之前,比較不會當時還在經濟部工業局直接跟技術服務中心來進行這方面的協調,這大概不太可能,因為技服就是只管政府裡面、關鍵基礎設施的事情,但是現在正華署長、何院長非常緊密在合作,除了像剛提到宣導的部分之外,為何講無店面商業同業公會,像是剛講到的成功導入一些做法,像是透過物流隱碼技術,讓以前都在 165 高風險賣場的這些電商,在最近已經從高風險賣場已經完全絕跡。
