善用生成式AI強化資安已非口號,近年國內外科技大廠陸續分享早期實務經驗,今年臺灣資安大會(CYBERSEC 2026)亦有不少臺灣企業公開AI資安應用成果,其中,作為國內電信與資通訊服務龍頭的中華電信,其發展進度亦受外界關注。
身為中華電信資訊技術分公司資訊安全應用處資安產品股股長的吳明峰,針對AI驅動日常工作提出實務經驗,並針對資安檢測難以跟上開發速度的挑戰,揭露團隊打造AI資安驗證閘門的新作法。
用AI加速資安團隊日常工作,聚焦五大核心應用場景
資安威脅與任務激增,資安人員負荷沉重。吳明峰表示,以自身單位而言,任務不僅包含防駭守門員這類對外資安服務,亦需協助內部資安強化。如何在繁重的工作壓力下,透過AI加速任務執行,是組織內部的核心焦點。對於如何實踐AI應用,他進一步歸納出該單位的五大AI核心應用場景。
首先,在文件與設計產出方面,吳明峰指出,AI已翻轉過去先寫文件、再寫程式的傳統流程,因為程式碼本身就是文件,我們可以用AI解析整份程式碼,一次將說明文件、流程圖與Database Schema產出;其次在開發與重構上,團隊更曾嘗試將整包JavaScript套件轉譯為Python,實測經驗顯示,只要投入足夠的Token數量,便能完成複雜的程式碼轉換。
此外,AI也應用於提升資安品質,加速軟體相依性盤點、風險檢核、滲透測試,以及安全閘道等面向,並將既有知識庫轉化為互動式問答資產。至於成效最顯著的領域,則是報告與例行作業自動化,諸如會議記錄與報表彙整等任務,其中會議記錄的自動生成更是讓同仁最有感的效率提升。
除了現有的應用場景,吳明峰亦揭露團隊正聚焦Agentic SOC技術發展,推動資安監控的自動化與智能化發展。
開發節奏邁向極速化,建構AI驗證閘門實現白箱與資安檢測自動化
在揭露自家資安團隊的AI應用之餘,吳明峰更是針對提升資安品質的應用面,做出更深入剖析,並點出當前緊迫挑戰在於:資安檢核必須同樣加速,否則整個流程一定卡關。
生成式AI對開發速度的提升顯而易見,吳明峰直言,有時自己半夜想到一個功能,就起身交給AI機器人處理,做完才回去睡。他並幽默地形容:「當你覺得自己開發速度已經很快,還有人更快;你快兩倍,有人快三倍、四倍。」
當Coding Agent等工具讓開發速度提升數倍,程式碼產出與推送(Pull Request,PR)數量亦隨之暴增,在開發節奏急速提升之下,若仍沿用傳統的人工白箱掃描,整個研發流程勢必會卡在資安檢核關卡。為了不讓資安成為開發的絆腳石,中華電信正積極實驗AI白箱檢測與AI滲透測試的可行性。
吳明峰表示,他們資安團隊建立名為「ChainStrike AI」的驗證閘門架構,可應用於AI白箱檢測環節,以及預部署測試後的安全驗證環節。
中華電信_AI資安驗證閘門.jpg)
根據吳明峰簡報圖片的內容顯示,這個ChainStrike AI的核心能力在於,可以整合開發程式碼、威脅情報與營運資料,進而用於攻擊面探索、身分權限驗證、攻擊鏈編排、漏洞與威脅情報關聯、證據圖譜,以及建立閘門政策引擎等能力。而當中最關鍵的特性,就是要將潛在的可疑風險轉化為具體證據。
吳明峰強調,這套機制並非要取代既有的CI、SAST、Code Review或SOC等流程,而是補強「可利用性驗證」這一層,透過AI自動化驗證大幅縮短人工資安檢測所需的時間。在他們的初步實驗結果顯示,AI能模擬資深資安工程師的攻擊鏈思路進行檢測,也能每日自動研讀最新資安新聞、情資以強化防禦能量。
特別的是,吳明峰也提醒大家:這類技術發展正備受市場看重,從GitHub平臺湧現數十個AI滲透測試專案的盛況便能窺見此一熱潮。這些專案正是因應自動化需求而來,搭配對話式機器人的輔助檢測,協助資安人員加速找出風險。換言之,他亦在鼓勵大家嘗試探索相關技術的應用潛力。
AI已改變資安人員的工作方式,治理方式也要跟著升級
另外,吳明峰也說明訓練AI Agent的經驗,他指出團隊會建立出題組、考試組及專屬訓練環境,讓AI在反覆演練中學會解題技巧,並將解法抽象化為可重複使用的檢測模式,以確保Agent的檢測可靠性。他強調,在此過程中,資深工程師需轉向扮演「教練」角色,負責指揮並教導Code Agent執行任務。
至於模型效能的實測評估上,以吳明峰個人經驗來說,他指出,Claude Code(Opus 4.6)在解題邏輯與指令遵循的綜合表現最為優異,Cursor次之;而在任務拆解與並行處理能力上,則以OpenAI Codex表現較佳。與此同時,他也會針對Claude Code與Codex的沙盒環境,探討其執行邊界與安全機制,以深入了解自動化過程的受控程度。
展望未來,吳明峰強調,AI不僅在改變資安人員的工作方式,更在重新定義AI的使用型態。例如,在操作形式方面,可能從傳統的使用者介面轉向極端的AI代理(Agent)優先模式;在治理模式方面,將演變為「人類決策、Agent執行、系統稽核」他並期勉所有業界資安同仁,從人員管控邁向對AI、Agent與工具鏈的全面治理。
