來源：新興生成式科技應用隱私漏洞案例借鏡

威脅對象：全校各處室主管、業務承辦同仁

【主題面向簡介】

當前生成式 AI 科技的演進，已經從早期的罐頭文字問答，發展到能深度學習個人人設、複製特定說話口氣與用字習慣的超擬真 AI 分身。社會時事指出，這類 AI 伴侶工具因擬真度極高，甚至讓使用者聊得意猶未盡、在短時間內獲取深度信任。然而，當這項技術被外部不法組織惡意利用時，它就演變成新型態的資安社交工程威脅。駭客不需要高深的技術攻破防火牆，而是利用 AI 假冒成同仁熟識的主管、同事或合作廠商，在通訊軟體上進行高精準度的語意欺騙。這項新興危機的防堵，不需學校投入龐大預算採購高昂設備，而是需要全校各處室主管與承辦同仁在日常行政中共同配合，透過微小的警覺心與完善的交叉確認流程，共同織起校園的隱形防護網，守護親師信任與行政名譽。

1. 它是怎麼發生的？ 在日常辦公情境中，這類新型社交工程的發生往往極具隱蔽性。不法分子可能透過收集公開資訊，利用生成式 AI 學習校內特定主管或合作廠商的用字習慣、稱呼方式與行政語氣，進而在常見的通訊軟體上，偽造出一個真假難辨的 AI 聊天分身。由於對話極具耐心且毫無違和感，同仁可能在聊了數天、完全放下戒心後，順應對方在聊天中的柔性要求，不自覺地透露了校內特定的行政流程、帳號密碼，或是順手點擊了對方發送的惡意連結，導致全校的行政防線在無形中失守。

2. 漏洞嚴重性（治理精神） 本校作為教職員工與學生數據安全的守護者，確保行政流程的完整性與核心資產的可信度，是一場需要全校處室協同防禦的共同責任。建立完善的資安制度，絕不只是資訊單位單方面的硬體責任，更需要大家在各自的公務座位上共同配合。如果同仁缺乏對這類超擬真 AI 語意欺騙的警覺，在面對涉及個資傳輸、公務系統登入或帳密變更的要求時圖一時行政方便而盲目信任文字表象，將直接衝擊到全校的行政名譽，更可能引發不可預期的法律課責與親師信任危機。因此，推動一項跨處室的實質照會制度，在完全不花經費的前提下，體貼基層同仁，引導大家在使用通訊工具時，透過簡單的跨管道求證程序完成行政自保。

3. 同仁怎麼做（防範 AI 語意欺騙與社交工程三招行動指引）

第一招：提高防盲信之日常自律意識。全校各處室同仁在辦公環境或私有設備上收受通訊軟體訊息時，若遇到看起來像熟人、同事或主管的帳號，在文字對話中突然提及需要協助查詢敏感學生個資、更換校務系統密碼、或要求點擊未經確認的外部連結時，切勿因對方的講話口氣相似而盲目信任，應第一時間建立此為新型 AI 社交工程的防禦警覺。

第二招：落問公務設備與帳號隱私清理。同仁在日常使用含有 AI 功能的社群或公務通訊工具時，應配合落實自律機制，定期檢視帳號的外部應用程式連動綁定，將不必要或已過期的第三方服務授權隨手收回。同時，嚴禁將校內公務系統的登入憑證、或者是含有學生敏感名冊的對話紀錄，留存於任何未經學校授權的外部雲端 AI 平台或公開社群對話框中，維持高標準的數位環境衛生。

● 第三招（行政流程鐵律｜多重管道實質照會求證） 強調行政流程上的協同配合與實質交叉求證。凡各處室同仁收受涉及校務權限、金流核銷、或學生個資調閱等關鍵行政指令時，程序上嚴禁僅憑通訊軟體的文字訊息作為執行依據。同仁必須拿起桌上的公務分機電話、或親自移步至主辦處室，與該名主管或同仁進行面對面的口頭實質照會，透過跨管道的交叉確認完備行政流程。如有必要或發現疑似遭遇惡意情感、財務或個資欺騙之緊急狀況，同仁可立即撥打 165 反詐騙專線或致電主管機關（如教育局）求證，用最嚴密、不花學校預算的行為程序，確保全校同仁在免責制度下安全辦公。