面對先進AI模型引發的資安威脅,已成為各國政府高度關切的重點。例如,美、英、加監理機關與銀行高層,陸續傳出對於相關風險的研討,英國國家網路安全中心(NCSC)亦特別提醒企業,必須先完善內部的漏洞管理機制再嘗試使用AI尋找漏洞。如今臺灣數位發展部資通安全署(資安署)亦發布應對作為,強調在AI用於漏洞挖掘與攻擊的能力快速增長態勢下,政府與企業應強化資安基本功,全面強化數位安全韌性。
資安署強調,從目前已公開的多份國際評估與實際攻擊案例可見,新興的AI工具使既有弱點從揭露到遭利用的時間大幅縮短,已超出人力反應速度。
為了因應新興AI模型的快速演進,推動臺灣公私部門進一步強化資安防禦,資安署表示將聚焦三項主要作為:(一)掌握攻防動態:及早掌握新興AI模型應用在資安攻防上的動向,進而引進相關防禦工具與經驗;(二)研討公私部門可行的防護策略:邀集產官學相關利害關係人之決策層共同研商公私部門防護技術及彙集意見,確保政策可行性,以凝聚國家級因應策略;(三)幫助中小企業:強化對中小微企業資安防護的支持、持續推動中小微企業加入TWCERT/CC,不因公司規模較小而錯失資安警訊。
資安署在揭示即將採取的行動之餘,同時也向國內企業組織呼籲:面對新興型AI,資安實務正面臨從「預防受駭」轉向「盡快復原、減少傷害」的典範轉移。
針對此一思維轉變,企業與政府機關應如何重新檢視自身的資安策略?資安院提出了三大核心觀察與提醒:
首先,攻擊成本驟降使威脅趨於「無差別化」:過去駭客因成本高昂可能只打大目標才划算,如今AI能協助攻擊者自動化掃描整個網際網路,上市櫃公司、中小型企業與地方政府機關都可能成為目標。
其次,「冷門漏洞」與「閒置系統」可能被AI重新利用:Anthropic的技術報告已證實此情形,這代表企業過去在漏洞處理時,因利用難度高或影響範圍有限而排在修補清單末端的項目,現在可能重新成為被攻擊的入口。
最後,企業應從「預防被打」轉向「迅速復原」:企業資安投入的優先順序應轉向關注被攻擊後的恢復時間與損失控制能力,將韌性作為資安投入的優先目標。
針對臺灣中小企業,資安署則是重申建立資安基本功的重要性,並指出AI改變的是攻擊的速度與成本,但並未改變資安的基本原則,因此提醒各界應從策略、管理及技術面穩紮防線。
具體建議如下:在策略面,企業政府高層要將漏洞管理提升為營運級風險;在管理面,強調定期演練復原能力、最小權限原則;在技術面,則是以縱深防禦縮短偵測與反應時間,其具體作法包括優先修補對外系統的CVE漏洞,並在資安管控措施上,全面啟用MFA、採用建立於FIDO2標準的Passkey憑證技術,以及停用非必要的對外服務與測試介面等。
展望更多國際動向,我們其實還看到更多國家的監理體系亦有所行動。例如德國聯邦金融監理局(BaFin)表示成立專門小組負責對金融機構進行專案審計,以因應AI漏洞風暴,還有像是日本金融廳成立「加強金融領域網路安全措施以應對AI相關威脅的公私協調會議」工作小組,這些國際案例不約而同地顯示,全球監理體系正對AI漏洞風暴威脅抱持高度警戒。
