chen2929 發達集團董事長
來源:財經刊物   發佈於 2026-05-15 06:24

AI駭客時代來臨!27年老漏洞也難逃、「還沒公開就被攻擊」

2026/05/14 10:50  
近期國際資安圈高度關注AI模型在漏洞發掘與攻擊自動化上的突破性進展。(彭博)
〔記者邱巧貞/台北報導〕隨著新一代AI模型在資安領域展現驚人的漏洞挖掘與攻擊能力,台灣也開始加速盤點國家級資安防禦策略。
數位發展部資通安全署指出,以Anthropic最新模型Claude Mythos Preview為例,該模型已能在主流作業系統與瀏覽器中找出數千個高嚴重性漏洞,漏洞利用成功率更高達72%。在紅隊測試中,甚至成功發現潛藏長達27年的OpenBSD作業系統漏洞。OpenAI最新推出的 GPT-5.5,也被認為能大幅提升既有攻擊技術的效率與規模,協助攻擊者更快速將漏洞轉化為可實際利用的攻擊工具。
資安署認為,AI正快速改變傳統資安攻防模式,漏洞被利用的速度已遠超過人力反應能力,面對新興AI攻擊能力快速演進,資安署提出三項主要因應方向。
首先,將持續掌握AI模型在資安攻防上的最新動向,並引進相關防禦工具與經驗;其次,邀集產官學界相關決策層共同研商,研討公私部門防護技術及彙集意見,確保政策可行性,以凝聚國家級因應策略。第三,持續強化中小微企業資安防護支持,推動更多企業加入TWCERT/CC(台灣電腦網路危機處理暨協調中心),不因公司規模較小而錯失資安警訊。
除了政策層面的布局,資安署也強調,企業與政府機關仍必須回歸「資安基本功」,從策略面、管理面與技術面同步強化防護能力。
在策略面上,資安署建議,企業經營層與政府機關首長應將漏洞管理提升至營運風險層級,親自督導資安治理,並將資安投資從單純預防,擴大至涵蓋偵測、應變與復原的整體韌性建設。
管理面部分,則包括定期演練營運持續計畫(BCP)、確保關鍵資料具備離線備份與可還原能力,同時全面落實最低權限原則,降低帳號遭濫用風險。
至於技術面,資安署建議企業優先修補對外系統的公共漏洞與暴露(CVE),並全面導入多因子驗證(MFA)、採用基於FIDO2標準的Passkey憑證技術,同時停用不必要的對外服務與測試介面,以縮短攻擊偵測與反應時間。
資安署也觀察到,AI工具已大幅改變漏洞被利用的速度。根據「零日漏洞時鐘(Zero Day Clock)」追蹤資料,漏洞從揭露到遭實際利用的時間中位數,已從2018年的771天,急遽縮短至2024年的4小時;到了2026年,甚至出現漏洞尚未公開便已遭利用的情況。
在此趨勢下,資安實務正從過去「預防被駭」的思維,逐漸轉向「迅速復原、降低損害」的新典範。資安署指出,AI已讓攻擊成本大幅下降,攻擊規模則持續擴大。過去駭客多半鎖定大型企業,如今透過AI自動化掃描,中小企業、地方政府機關甚至閒置系統,都可能成為攻擊目標。
此外,過去因利用難度高、影響範圍有限而被延後修補的冷門漏洞,也可能因AI能力提升而重新成為攻擊入口。這代表企業過往的漏洞修補優先順序,未來恐怕需要重新調整。
資安署強調,AI改變的是攻擊的速度與成本,但資安核心原則並未改變,包括縱深防禦、漏洞管理、身分驗證等基本機制,現階段仍是最有效的防禦基礎。企業與政府機關應立即重新檢視自身資安風險與漏洞修補策略,並將「韌性(Resilience)」作為未來資安投入的核心方向。

評論 請先 登錄註冊