從產地到餐桌，區塊鏈讓食品安全更透明

FIND研究員：楊尚融

將區塊鏈技術應用在農業與食品供應鏈中，能有效提升生產透明度與食品安全。透過物聯網感應器，蒐集農作物在生長過程（如施肥、灌溉、收成）中，光照、溫度、濕度等環境數據，並將這些資訊存入區塊鏈，確保數據不可篡改，以提升農產品的可追溯性。消費者可透過掃描 QR Code 查閱產品的生產履歷，掌握種植與加工過程，確保食品來源安全透明。

區塊鏈的結構

是甚麼原理，使得紀錄於區塊中的資訊幾乎不能被篡改？首先來看區塊鏈的結構。區塊鏈由一系列相互鏈接的「區塊（Block）」所組成，包含以下三種要素。

1、    區塊頭（Block Header）：版本、前驅哈希、默克爾樹根、時間戳記、難度、隨機數。
2、    區塊體（Block Body）：包含交易記錄及數據。所有數據經過哈希函數計算並組成「默克爾樹（Merkle Tree）」。
3、    鏈結機制：每個區塊透過「前驅哈希（Previous Hash）」與前一個區塊相連，形成不可篡改的區塊鏈結構
 

圖1：區塊鏈（Blockchain）的結構
資料來源：How blockchain and serverless processing are impacting event-driven architectures

接著說明何謂「哈希函數（Hash Function）」。哈希函數是一種數學計算方式，它可以將任何大小的資料轉換成固定長度的數字串，這個數字串稱為「哈希值」。哈希函數有以下重要特性：

1.    輸入值不同，輸出值會完全不同：即使輸入值僅變動一個字元，哈希值也會產生劇烈的變化（雪崩效應）。
2.    輸出長度固定：無論輸入資料多大，哈希值的長度都不變。例如：SHA-256函數，固定產生256位元的哈希值。
3.    單向不可逆：無法從「哈希值」推回原始數據。

數據不可篡改的原理

對「哈希函數」有初步的概念，就可以探討「默克爾樹根」及「前驅哈希」這兩個要素。首先「默克爾樹」是一種樹狀數據結構，用來驗證區塊體內的數據。其運作方式是先對每筆交易計算哈希值，再將哈希值兩兩合併並重新計算哈希，不斷重複直到產生唯一的「默克爾樹根（Merkle Root）」。最終，這個「默克爾樹根」會存入「區塊頭（Block Header）」，用來驗證數據的正確性(見圖2)。

圖2：透過默克爾樹根驗證交易
資料來源：

參考資料來源：

1.區塊鏈技術基本運作原理

2.雜湊函式 - 維基百科，自由的百科全書

3.區塊鏈 - 維基百科，自由的百科全書

4.電子簽章的相關技術介紹｜moda — 數位發展部 Ministry of Digital Affairs

5. 比特幣和區塊鏈到底是啥？礦機挖礦咋回事？李永樂老師講比特幣(1) - YouTube

6.區塊鏈Blockchain(下集)加密貨幣如何防止竄改?區塊的內部結構是什麼?比特幣分析加密貨幣技術分析- YouTube

網路安全中的AI，既是矛也是盾

FIND研究員：魏心兪

AI潮流來襲，自2022年末生成式AI的興起，更是加速AI技術在各產業中的應用。在網路安全中，AI可以更快地檢測可能的威脅、利用自動化密集地任務防禦網路攻擊，對於保護者來說，AI提供了方便快速的保護方式。相反地，對於網路攻擊者而言，AI興起幫助他們擴大攻擊範圍、縮短攻擊空白時間，並執行更為複雜的網路攻擊。因此，在現今網路環境下，AI究竟是提升網路安全的盾牌，還是助長攻擊的矛，對於企業該如何去制定對應策略，已然成為重要課題。

【AI如何成為網路安全的盾？】

AI可以即時識別網路中的威脅，並做出適當反應，AI的反應速度跟範圍比人工反應更快更大，因此許多企業會採取用人工為主AI為輔的方式，讓負責網路訊安全的員工專注於在規劃更複雜且具有策略意義的活動上，而AI則是幫助員工自動處理日常分析與漏洞掃描等的日常任務。AI的資訊安全應用所提供的優勢：

1. 偵測與回應進階威脅

AI可以透過機器學習分析大量的數據，包括網路流量、端點日誌、使用者行為模式等，從中辨識異常活動。有別於傳統的檢測方法，AI是透過關注網路上的可疑行為，而非已知的惡意軟體來偵測出網路釣魚的跡象或是未知的攻擊媒介。例如，由AI驅動的安全資訊與事件管理(Security Information and Event Management, SIEM)可以即時過濾並優先處理重要警訊，讓網路安全團隊能夠專注於真正的威脅。

1. 預測攻擊並強化防禦

AI透過分析過去數據並結合趨勢，預測潛在的網路威脅，並在攻擊前就採取防禦措施，這對於防止更進階的威脅極為重要。例如，魚叉式網路釣魚攻擊會試圖冒充公司高層登入公司系統，進而對企業網路及系統早成損害，而AI透過分析歷史報告及攻擊者行為模式，幫助企業辨別真偽並實施零信任，避免憾事發生。

1. 自動化與效率提升

即使政府與學校不斷培養網路安全領域的人才，但對企業而言，人才短缺問題一直是企業面臨的挑戰。然而，AI可以自動化處理耗時且繁瑣的日常性網路安全偵測任務，例如漏洞掃描、日誌分析和事件分類，而AI能夠24小時全年無休的運作，因此企業不用擔心休假日或下班後會被有心人士攻擊卻來不及預防，也減少因為人工會因為疲勞或分神所產生的人為錯誤，提高企業整體安全性。

1. 抵禦高度複雜的攻擊

即便網路攻擊方式層出不窮，但AI搭配機器學習為企業提供快速適應的能力，透過不停地更新網路安全檢測模型，來應對不斷變化的攻擊手法。例如，面對像進階持續性威脅(Advanced Persistent Threat, APT)時，AI持續學習並更新防禦策略，以確保企業的網路安全防禦措施能夠與時俱進。

>

RY Nation Hub：開啟環遊世界與遠距工作的無縫新生活

FIND研究員：林孳敏 隨著全球遠距與混合工作模式的快速普及，越來越多專業人士選擇「工作即旅遊」的生活方式，成為數位遊牧族。然而，這樣的生活方式也帶來孤立感、文化適應與資源不足等挑戰。Remote Year 觀察到數位遊牧族對於社群連結與資源整合的強烈需求，>