軟體工程師一堆密碼記不住！Google看中的新創Infisical，怎麼解決痛點？|數位時代 BusinessNext

管理Facebook、Instagram、Google、YouTube、Discord等不同平台的帳號密碼非常麻煩，對軟體開發團隊也存在「密碼問題」，每開啟一個專案，就需要一組對應的加密與解密的專屬金鑰（key）作為編輯權限，通常軟體開發團隊會將這些金鑰統一儲存管理。

不過這存在一定的資安風險。當團隊成員內部進行金鑰傳送時，可能因人為疏失造成資料外洩，又或者更新程式碼版本時不幸遺失所使用的金鑰，甚至在發布程式碼到Github時，不小心上傳到含有金鑰的檔案，都有可能會造成重大的資安危機。

曾入選知名新創加速器Y Combinator的新創Infisical，以中心化的集中管理平台協助企業管理不同的金鑰，並以端到端加密（E2EE，End-to-end Encryption）資料保存的方式，降低資訊在傳遞的途中被外洩的可能。自2022年創立以來，每個月已經協助企業及政府保存超過1億筆機密資料，更在今年獲得Google旗下創投基金Gradient Ventures的200萬美元（約新台幣6,000萬元）種子輪基金。

資訊安全新創Infisical，獲Google旗下創投Gradient Ventures注資

Infisical創辦人Vlad Matsiiako、Maidul Islam及Tuan Dang在康乃爾大學主修電腦及數據科學，寫程式時加密與解密的不便正是他們創業的主因。

金鑰的應用就像每月收到的電子對帳單，在收到經銀行加密的檔案後，收件者必須要輸入身份證字號，才能解開檔案並開啟閱讀。即使步驟繁瑣，但為了保障個人資料安全，此加密、解密的過程是不可或缺的一環。

對軟體工程師而言，軟體開發金鑰依循著同樣的道理。使用不同軟體時，他們總會創造出兩把一組的金鑰，一把提供給軟體主要開發者自行保管及資料加密使用，另一把則提供給團隊成員，以便在接收到開發者已加密的資料時進行解密。

對每個專案皆會使用到不同金鑰的軟體工程師而言，為簡化整理複雜資訊及多把金鑰管理的步驟，會選擇將金鑰存入該專案的環境變數（.env檔），將不同軟體的金鑰儲存統一管理，並保存於自己的電腦中，以便後續在進行軟體改版或修正時，可快速找到對應使用的金鑰。

但當專案因程式碼變動而產生不同版本的檔案，存有多項金鑰的.env檔便容易因版本過多而搞混，出於方便有許多工程師便存著僥倖心態，將存有重要金鑰的檔案共同存放在單一檔案中，若後續在進行程式碼上傳時未有注意，便有可能因此而不小心上傳至公開網站中。

為解決這項問題，公司不僅要求他們尋找能與現行軟體相容，並兼具安全、方便使用特性的資料管理系統。同時也出於資安考量，要求他們在傳送重要資訊時，將機密資訊分段並透過如電子郵件、通訊軟體等不同管道傳送給對方，這樣的方式儘管有效，卻也造成作業上的麻煩。

企業總需花費許多時間及精力尋找適合的系統，創辦人之一的Vlad Matsiiako表示，因為清楚知道大型團隊進行資料保護的困難，在與產業同儕討論過後，他們便決定以資訊安全為核心進行創業，打造多功能的資料管理系統。

打破「使用者體驗」及「資安」只能擇一的困境，Infisical試圖在兩者間取得平衡

普遍在進行資料維護的過程中，企業總要在操作介面及資安維護間做出取捨。也就是說，如果選擇的是足夠安全的資料保護系統，必然要面對極為複雜的系統介面；另一方面如果選擇的是簡易上手的系統介面，系統背後則有機會藏有資料安全漏洞。

Infisical卻打破了這兩極化的現象，他們設計了Low-Code的使用體驗，只要輸入一句指令，便可以儲存包含API金鑰、資料庫存取權限（Database Access Tokens）等重要資訊，並提供金鑰權限控管功能，公司可明確地控制哪些帳號有權限讀取開發中的軟體，或者進行軟體改寫操作。

團隊也在系統中內建稽核機制，協助企業記錄每項軟體開發步驟的建立及修改狀況，並提供不同版本專案的金鑰管理，讓企業可以隨時回溯至之前的專案版本，以便在軟體測試時出現錯誤時找回原始資料。同時系統也提供程式碼檢查機制，當工程師將程式碼上傳至Github前，預先檢查程式碼中是否包含機密資訊，若偵測到含有機密文件便會阻止使用者上傳該段程式碼，以便防止機密資訊外洩。

開放大部分Infisical系統原始碼，促進資訊安全生態圈共好循環

不同於一般資料儲存系統提供固定的使用者介面，Infisical選擇公開大部分系統的原始碼，並將指令碼上傳至Github提供給企業參考。

Vlad Matsiiako表示，對於個人系統開發者及業餘軟體設計師，目前Infisical在Github上所提供的指令碼已足夠讓他們探索，有能力的工程師也可以依據企業特性進行些微修正。而為了公司營運，Infisical仍保有一部分核心的系統原始碼，提供給購買企業版軟體的公司，以便提供更高階的資料安全維護服務。

日前Infisical系統的導入沒有收費，且系統研發者可透過開放原始碼進行修正。若想取得核心的系統原始碼，則針對企業團隊規模分別以每月8美元（約新台幣250元）及18美元（約新台幣570元）的方式收費，而針對希望擁有客製化系統的企業，Infisical也提供客製化方案，不僅提供全日的即時協助管道，也開放軟體創立至今的所有歷史版本給企業運用。

參考資料：TechCrunch、SecurityWeek、Infisical Blog、Infisical

本文授權轉載自：創業小聚

責任編輯：錢玉紘

為守護保戶資產，南山人壽集結客戶服務、數位、資訊三個部門的能量，自行研發「黃金眼 AI 防詐模型」，自 2024 年底完成開發後，截至今年 11 月已成功阻擋多起詐騙案件、攔阻金額累計逾新臺幣 900 萬元，並獲得 2025 數位金融獎等殊榮。

「黃金眼 AI 防詐」模型為什麼可以有效防詐、更好守護保戶資產？

南山人壽客戶服務資深副總經理李淑娟面帶微笑地解釋：「『黃金眼 AI 防詐』是透過龐大的保戶資料結合前線客服的實務經驗建構而成的模型，不僅克服了壽險業交易頻率低且詐欺樣本極度不平衡的挑戰，還能夠偵測在臨櫃辦理保單借款或解約的高風險個案，讓客服人員可以主動提醒與關懷，有效降低詐騙風險，守護客戶資產安全與信任。」

從詐保到詐財，壽險業面臨的風險加劇

過往，壽險業者面對的主要風險是保險詐欺，例如，透過偽造事故情節、虛構醫療紀錄等方式詐領保險理賠金，然而，隨著科技迭代與詐欺集團的組織化、專業化，這類手法已快速進化，從「偽造病歷、輕病久住、醫療共犯」等傳統模式，轉向結合數位科技與精準話術的跨領域詐財操作。

這一波詐欺風險不僅滲透力強、具備高迷惑性，也直接影響保戶資產安全。例如，詐欺集團利用假冒理賠諮詢等方式竊取保戶個資，再一步步誘導客戶辦理解約或申請保單借款，最後要求將資金匯到不明帳戶等，壽險業者面臨的風險範圍也從「詐領保險理賠」延伸到「詐騙保戶資產」。

李淑娟資深副總經理進一步指出，南山人壽每年要處理逾 35 萬件解約與借款案件，很難單憑人力在海量案件中精準辨識高風險個案。「為有效防堵詐欺事件，南山人壽除開發 AI 模型辨識詐保事件，更進一步研發黃金眼 AI 防詐模型，用前瞻科技主動攔截風險，強化保戶資產的安全防護。」

南山人壽以黃金眼 AI 防詐模型守護保戶資產

在打造黃金眼 AI 防詐模型時，南山人壽面臨兩個挑戰：首先是壽險的交易頻率低，導致資料稀缺；其次，是詐欺樣本比例高度失衡，導致 AI 很容易誤判。為化解這些挑戰，南山人壽整合保戶行為、保戶與保單側寫資訊與情境因素等多模態資訊進行模型訓練，爾後，透過集成學習（Ensemble Learning）整合多個不同觀點的「專家模型」共同判讀，提升模型判斷準確性。

南山人壽數位專案經理蔡其杭表示：「以多模態數據源跟集成學習的策略打造黃金眼 AI 防詐模型後，我們除了將模型串連至臨櫃客服系統，以直觀的「紅、黃、綠」三色燈號即時呈現保戶的風險等級，協助客服人員快速識別高風險個案，主動介入並阻斷詐騙，更透過『自適應演進』與『外部資源擴充』兩個機制，持續優化模型辨識精準度。」

「自適應演進」指的是，客服人員會依據模型亮起的燈號，結合系統提供的關懷提問表，向臨櫃辦理解約或借款的保戶進行關懷詢問，如資金用途、是否接獲可疑來電等，藉此釐清是否存在異常情況，並將相關結果回貼標籤，作為後續調校模型的關鍵訓練素材，讓黃金眼 AI 防詐模型越用越精準。

「外部資源擴充」則是透過更多元的外部數據強化模型的防詐能力。例如南山人壽與內政部警政署刑事警察局簽署反詐騙合作備忘錄（MOU），在合規架構下共享情資，協助核對保戶是否曾有詐欺通報紀錄。蔡其杭補充，南山人壽目前正與電信業者合作，將其超過 1,400 項特徵因子導入模型，有效提升模型燈號判斷的靈敏度與可靠度，使黃金眼 AI 防詐成為更全面的金融詐欺偵測引擎。

蔡其杭表示，詐騙的手法日新月異，AI 阻詐模型除了能準確識別可疑的高風險案例外，更重要的是具備與時俱進、持續調優模型能力和效果的機制；如同維持客戶服務的品質一樣，刻不容緩。

李淑娟表示：「隨著模型的持續優化，黃金眼 AI 防詐模型的應用範疇將從目前的『臨櫃防堵』延伸到『全通路、跨產業、事前預警』的防禦機制，以事前預警的方式防堵詐欺事件。」舉例來說，當保戶撥打電話詢問保單借款或解約時，系統就會開始運作、提前識別風險，針對透過手機 APP 或網路平台辦理業務的數位客群，系統也會即時偵測，當出現高風險行為時即會立即展開關懷提問。

不僅從科技著手，南山人壽以 SAFE 逐步提升防詐安全網

值得特別注意的是，南山人壽並未將防詐視為單一的科技工程，而是從 SAFE–Skilled（防詐訓練）、Awareness（全民防詐）、Fintech（科技運用）、Engagement（聯防合作）–四個構面打造更完整的防護機制。

在專業技能方面，南山人壽不僅協助相關人員熟悉黃金眼 AI 防詐模型的操作模式，也持續透過內部教育訓練，以及跟刑事警察局等單位合作舉辦的工作坊等方式，全面提升員工識詐、阻詐的能力，達到 AI 人機互動的阻詐聯防保護網。

在防詐意識宣導方面，南山人壽除於全台 18 個分公司櫃檯播放刑事警察局提供的反詐騙影片，並在櫃檯明顯位置放置防詐文宣，協助來訪保戶掌握最新詐騙趨勢；更主動走入偏鄉、校園與新住民社群，並針對聽語障人士製作友善素材，以多元形式推廣防詐知識，降低詐騙事件發生的可能性。

在公私協力方面，李淑娟表示，南山人壽積極培育、鼓勵每一位壽險業務員成為「防詐大使」，在拜訪客戶時主動觀察各種異常徵兆，例如可疑的投資文宣或陌生人的頻繁出入，並將這些現場蒐集到的「軟性數據」提供回公司，作為模型判斷的補強資訊，以提升事前預警效果。

為了更好的保護高齡與失智等高風險族群，南山人壽也積極推動「保單安心聯絡人」機制，鼓勵保戶指定第二聯絡人，在其申請保單借款或終止契約時，可以主動通知聯絡人介入確認，降低詐騙風險；此外，亦針對受詐保戶提供「喘息關懷服務」，以低利紓困貸款協助保戶在遭遇詐騙後仍能穩定度過財務壓力，將防詐保護從事中攔阻延伸到事前預警與事後援助兩個層面，樹立產業新標竿。