談談到人工智慧 (AI) 領域,我們首先需要理解它的範疇。它起源於一些簡單技術——機器人技術,以及後來的機器學習(本質上是訓練電腦按照特定序列操作或根據演算法識別模式)。下一階段則是深度學習與大型類神經網路。如今,我們已經逐步邁入科幻小說般的境界。電腦系統被設計來模擬大腦神經元,不僅能夠解讀語音和文字,還能分析內容。現在,這項技術開始有趣了起來。
近期,比爾·蓋茨與 OpenAI 執行長 Sam Altman 對談時表示,「我從未想過 ChatGPT 會這麼出色,它令我驚嘆,而我們還未真正深入理解其編碼方式。」Altman 對此表示贊同。1
我認為,我們不必擔心仿生機器人統治世界,至少目前不會出現這種情況。但是,犯罪分子可能利用這些新工具實施哪些犯罪行為?作為法規遵循專業人士,我們又該如何保護客戶和機構免受新型複雜犯罪計謀的侵害?這些問題仍待解答,令人憂慮。如果犯罪分子出於惡意而使用這類可能令人驚嘆的新武器,金融犯罪法規遵循領域前線的專業人士需要借助哪些工具加以應對?讓我們直接從源頭尋找答案。
還有誰比 ChatGPT 更適合討論這些風險呢?或者,我應該問「有什麼」而不是「有誰」?思考目前和我們交流的是一個虛擬存在還是一段複雜程式碼,已經令人感到不安,不是嗎?但這正是當今時代的險境,也是我們在 2024 年逐漸適應的奇特現象之一。那麼,作為法規遵循專業人士,我們在勇敢邁向數位深淵時應該關注什麼?
ChatGPT 3.5 版本就此發表了意見,結果並未讓人失望。以下是根據我們的即興「專訪」整理出的要點。
專訪第一部分
Claudia Haberland (CH): 您認為 ChatGPT 和雲端服務存在哪些防制洗錢法規遵循風險?
ChatGPT: ChatGPT 等人工智慧服務和雲端解決方案存在若干潛在防制洗錢法規遵循風險。
Claudia Haberland:可否詳細說明?
ChatGPT:
1. 資料安全:雲端服務可能儲存客戶敏感資料,包括個人資訊 (PII)、交易記錄和其他財務資訊。如果這些資料因安全漏洞或資料保護措施不足而遭到洩露,可能導致防制洗錢違規和監管處罰。
2. 資料安全:雲端服務可能儲存客戶敏感資料,包括個人資訊 (PII)、交易記錄和其他財務資訊。如果這些資料因安全漏洞或資料保護措施不足而遭到洩露,可能導致防制洗錢違規和監管處罰。
3. 模型偏差和錯誤:ChatGPT 等人工智慧模型容易受到訓練資料偏差的影響,可能導致結果不準確或有失公平。在防制洗錢法規遵循領域,模型偏差可能誤將某些交易或客戶標記為可疑,同時忽略其他應當關注的交易或客戶,可能引發法規遵循問題、觸發監管機構審查。
4. 缺少人員監督:人工智慧和雲端解決方案儘管可以自動處理防制洗錢法規遵循的許多環節,但也可能缺乏人類專家具備的細膩理解和判斷能力。如果過分依賴自動化系統、缺少人員監督,可能錯失紅旗警訊或產生誤報,弱化防制洗錢措施的成效。
5. 缺少人員監督:人工智慧和雲端解決方案儘管可以自動處理防制洗錢法規遵循的許多環節,但也可能缺乏人類專家具備的細膩理解和判斷能力。如果過分依賴自動化系統、缺少人員監督,可能錯失紅旗警訊或產生誤報,弱化防制洗錢措施的成效。
6. 金融交易複雜性:金融交易可能具有複雜性,涉及多個參與方、司法管轄區和中介機構。人工智慧系統可能在分析和偵測這類交易的可疑模式時遇到挑戰,尤其是在基礎資料不完整或不明確的情況下。這種情況可能造成防制洗錢法規遵循缺陷和漏洞。
為了緩釋這些風險,機構應實施嚴格的資料安全措施,確保人工智慧決策流程的公開透明、責任清晰,持續培訓和監督法規遵循人員,定期審查和更新防制洗錢政策和程序,確保遵守監管要求。此外,將人類的專業知識與人工智慧解決方案結合,可以提升防制洗錢法規遵循措施的有效性和可靠性。
專訪第一部分見解
相關回答探討了人工智慧技術與監管法規遵循交叉領域固有的複雜挑戰,進而引出了需要細膩考量的三個主題:
- 首先,在數位化技術普及的今天,資料安全是持續受到關注的議題。雖然保護敏感資訊作為當務之急早已不是新聞,但是鑒於周邊威脅不斷變化,其重要性依然顯著。在金融機構中,風險職能部門間的良好溝通至關重要。
- 其次,在有關人員監督的交流中,仍強調人類判斷在自動化系統中不可替代。在這個演算法佔主導地位的時代,保留人工干預越來越重要,可以有效抵禦潛在盲點、演算法偏差以及對決策方式或依據失去控制的威脅。正因如此,許多監管機構對「黑箱」持謹慎態度,而對可理解的人工智慧非常重視。在我看來,在重視技術進步迅速的情況下,堅持人工干預的立場可能頗具挑戰,但這是非常合理的要求,我們人類的目標應該是盡可能地掌握控制權。
- 再次,基於前述討論,模型驗證理念是追求高效法規遵循策略的基石。隨著人工智慧模型在決策過程中佔據越來越核心的地位,嚴格審查和驗證這些模型是勢在必行且為首要事項,以確保這些模型可靠、有效地處理複雜監管框架和固有偏差。
消費者和金融機構實際面臨哪些人工智慧犯罪威脅?這包含眾多暗中危害的威脅,例如,製作操縱媒體的內容、利用 ChatGPT 等人工智慧技術的自然語言處理能力等。事實上,軟體功能與社群媒體平臺上的用戶生成內容為非法活動提供了肥沃的土壤,催生了一系列惡劣的騙局,包括感情詐騙 / 殺豬盤、敲詐勒索、冒用帳戶等。
專訪第二部分
Claudia Haberland:在利用 ChatGPT 盜用帳戶或冒充帳戶持有人等非法活動中,銀行需要警惕哪些特殊威脅?
ChatGPT: 總體而言,人工智慧聊天機器人結合了自然語言理解、背景識別、適應、情感操控和模糊化技術,能夠模仿合法帳戶持有人的行為,進而能避免被懷疑及繞過傳統詐欺偵測機制。為了抵禦這種威脅,銀行必須部署詐欺偵測演算法,利用人工智慧和機器學習偵測有詐欺行為跡象的細微異常和模式,同時實施有效的認證和授權機制,驗證帳戶持有人身分,並防止未經授權的存取。盜用帳戶和冒充帳戶持有人對銀行和金融機構所構成的重大威脅,而 ChatGPT 等人工智慧技術的出現可能加劇這些風險,包括網路釣魚攻擊、社交工程、憑證填充、詐欺交易和身分盜用。ChatGPT 還可能被用於偽造身分證件或在身分驗證過程中冒充合法帳戶持有人。詐騙分子可能利用這一能力,以虛假身分開立新帳戶、申請貸款或信用卡,或實施其他詐欺活動,造成銀行及其客戶的財務損失。
Claudia Haberland:金融機構應採取哪些措施緩釋這些威脅?
ChatGPT: 銀行必須採取強有力的安全措施和詐欺偵測機制,包括:
- 多因素驗證 (MFA),查驗帳戶持有人身分,防止未經授權的存取。
- 高階的詐欺偵測演算法可分析交易模式、用戶行為和通訊模式,以識別可疑活動。
- 定期開辦客戶安全意識培訓,向他們介紹常見的網路釣魚技巧和社交工程手法。
- 即時監控帳戶活動和通訊管道,偵測異常情況和潛在詐欺指標。
- 持續監控並更新人工智慧系統,識別並緩釋新出現的威脅和漏洞。
銀行可以採取主動網路安全策略,負責任地運用新技術,進而增強防禦能力,防範 ChatGPT 等人工智慧聊天機器人可能引發的帳戶盜用和帳戶持有人冒充行為。
結語
2023 年蘭德公司研究結果再次提醒我們,人類會因「認知偏見」而受操縱。[1]大致說來,犯罪分子會利用我們樂於助人的天性。儘管我們大多數人已經意識到這一點,尤其是透過公司提供的 IT 安全培訓等途徑,但由於目前很輕易可取得許多工具用於偽造影片、文件和社群媒體帳戶,即使是採用最嚴格的增強盡職調查 (EDD),也有可能遭遇挫敗。每當有人請求我們伸出援手,助其存取帳戶、重置遺忘的密碼、恢復遺失的簽名權或要求儘快付款時,我們往往願意相信其是出於真心。如果我們認為請求合情合理,就更願意出手相助。隨著這些工具的普及,犯罪能力將被更廣泛的人群掌握。可以預見未來將會出現更多複雜的濫用行為,包括「利用人工智慧語言模型進行惡意資訊操作、實施大規模魚叉式網路釣魚活動以及製作日益逼真的深度偽造媒體」。[2]作為補救措施,蘭德公司建議,「對資訊環境進行審慎的監控是這一策略的重要基石。隨著人工智慧和機器學習技術進步,持續監控對於及早偵測並遏制虛假資訊活動至關重要。」[3]雖然這項研究主要側重社會影響和國家安全問題,強調國際政治合作的重要性,但私營機構也應採取相同措施,保護自身免受相應威脅。3 作為補救措施,蘭德公司建議,「對資訊環境進行審慎的監控是這一策略的重要基石。隨著人工智慧和機器學習技術進步,持續監控對於及早偵測並遏制虛假資訊活動至關重要。」4 雖然這項研究主要側重社會影響和國家安全問題,強調國際政治合作的重要性,但私營機構也應採取相同措施,保護自身免受相應威脅。
2024 年 3 月,歐洲議會率先採取措施,通過《人工智慧法案》。該法案是關於人工智慧使用的綜合監管法律框架,針對資料品質、透明度、人員監督和問責設定了歐盟範圍規則,旨在促進人們對這些模型的深入理解。它還規定了額外的風險管理義務,包括自我評估、系統風險緩釋、重大事件報告、測試與模型評估以及網路安全要求。該法案與歐盟《一般資料保護規則》(GDPR) 相似,具有顯著域外效力,並將罰款設為 3,500 萬歐元(3,770 萬美元)或全球年收入的 7%(以金額較高者為準)。因此,《人工智慧法案》將對在歐盟境內經營業務的所有企業產生深遠影響。
然而,正如我們所知,犯罪分子自認不受法律法規約束。作為法規遵循專業人士,我們應當熟練掌握並主動運用人工智慧工具,如持續監控和負面新聞篩查,同時利用其多語言功能擴大調查範圍。在疑似出現詐欺、洗錢、政治風險,或對高淨值客戶實施增強盡職調查 (EDD) 時,這一點尤為重要。我們還需更加警惕自身固有的心理偏見。不過,這些增強篩查和監控也將標記更多可疑行為。因此,我們需要利用自然語言處理算法,減少已使分析師不堪信息重負的「噪音」。使用人工智慧搜尋照片或影片;犯罪分子往往會從社群媒體竊取這些內容,以建立新的身分。此外,還需留意異常模式或資料中斷情況。潘多拉的寶盒已經開啟,法規遵循專業人士亟需與時俱進、掌握技術、對抗不法分子。簡而言之,在與人工智慧的較量中,只有借助人工智慧的力量,才能佔據上風。
Claudia Haberland,法規遵循從業人員兼金融科技愛好者,CAMS,AML RightSource 德語地區負責人,Claudia.Haberland@amlrightsource.com,
- Podcast,“Unconfuse me with Bill Gates: My conversation with Sam Altman”(比爾·蓋茨解惑:與 Sam Altman 對談),GatesNotes,2024 年 1 月 11 日,https://www.gatesnotes.com/Unconfuse-Me-podcast-with-guest-Sam-Altman
- “ChatGPT Is Creating New Risks for National Security”(ChatGPT 引發國家安全新風險),蘭德公司,2023 年 7 月 20 日,https://www.rand.org/pubs/commentary/2023/07/chatgpt-is-creating-new-risks-for-national-security.html
- 同上。
- 同上。