整理/鄭宜芬
前沿 AI 模型正大幅縮短漏洞從揭露到攻擊利用的時間。金管會 14 日發布「金融業應對 AI 攻擊的挑戰與策略建議」,指出 AI 已加速漏洞發現、武器化及自動化攻擊能力,金融機構除須強化弱點修補,更應將資安提升至治理與營運韌性層次,由高階管理層主導整備,並提出涵蓋零信任、持續監控、資安左移、供應鏈治理等七大策略,協助金融業提升整體資安韌性。
金管會表示,Claude Mythos Preview 是美商Anthropic公司於 2026 年 4 月對外揭露之前沿模型,可協助找出漏洞、推演漏洞利用路徑,並規模化產出可運作之利用方式,導致漏洞發現與武器化之速度、規模與可靠度均可能同步上升,金融機構及其供應商可能面臨短時間大量修補之壓力,形成測試、驗證及上線資源壅塞之情形。
金融服務高度仰賴核心交易、清算支付、身分驗證、跨機構介接及資料保護等機制,且對可用性、交易正確性及信任維持要求甚高。當前沿 AI 模型縮短從漏洞公開到可用攻擊手法出現之時間,金融機構除需因應技術層面之弱點修補外,亦須同步處理授權決策、服務維持、客戶影響、通報義務、供應鏈協調及對外溝通等治理與營運議題。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
七大資安韌性策略
面對前沿 AI 模型壓縮弱點揭露與利用時窗之新情勢,金管會建議金融機構優先依循「金融資安韌性發展藍圖」方向,加速落實並深化執行相關資安韌性措施。
- 落實零信任,降低單點失守衝擊:
在難以預先保證系統完全無漏洞之前提下,可透過抗釣魚多因素驗證、設備健康掌握、網路分段、連線控管與持續驗證,提升關鍵資源之防禦縱深,限制橫向移動、權限擴張與降低資料外洩風險。對外部或客戶端服務,宜將前端保護與傳輸安全視為基礎防護,並同步強化後端服務與 API 之身分驗證、授權檢核、異常偵測及流量控管,以降低自動化濫用與未授權存取風險。
- 強化持續監控,提升研判與即時應處效能:
面對攻擊利用時窗急遽縮短,資安監控宜由告警可見進一步提升為可早期發現異常、關聯弱點與攻擊線索、支援快速研判並驅動應處之能力,並持續優化偵測、分流與止血效能。
- 深化資安左移,將資安要求前移至開發、測試與部署流程:
將資安要求逐步前移至需求、開發、測試與部署各階段,並同步強化 CI/CD(持續整合與持續交付/部署)安全控制、自動化檢測、簽章驗證、回歸測試及回退安排,作為提升弱點治理效率與修補韌性之基礎。
- 強化第三方治理,提升供應鏈可視性與弱點追蹤能力:
將 SBOM(軟體物料清單,用以記錄軟體元件、版本及相依關係)與依賴管理納入常態作業,作為快速定位受影響範圍、排序修補優先序及支撐漏洞應變之基礎,並逐步明確關鍵供應商之修補 SLA(服務水準協議)、回報時限、緩解措施及替代機制。
[ 推薦閱讀:未治理 AI 將付出代價 ]
- 深化聯防協作,強化重大事件通報與情資共享:
在既有 F-ISAC(金融資安資訊分享與分析中心)情資分享基礎上,針對高風險弱點、重大供應鏈事件及密集修補波次,逐步明確分級報送門檻與通報時限,並釐清與委外廠商、關鍵供應商及聯防單位間之責任分工,以利形成共同情勢感知與優先應處順序。
- 建立短期整備與韌性演練機制:
金融機構宜識別優先服務、關鍵系統與外部曝露面,提升資產可視性,盤點修補量能,並採行風險導向之弱點分流、修補與測試;對暫難立即修補項目,同步採取隔離、權限收斂、流量限制、臨時阻擋規則、端點偵測與回應或網路分段等措施等替代控管措施,並預作停機、降級運作與對外說明等整備。
- 前瞻規劃防禦性AI與自動化治理能力:
金融機構宜將防禦性 AI 納入中長期能力建設與治理規劃,如應用於漏洞檢測與修補、資安監控與事件應處等,循序評估適用場景及導入條件,並宜保留人工覆核、軌跡保存、停用與回退機制,以提升弱點治理、監控分析及事件應處之效率與韌性。
[ 推薦閱讀:CIO 與 CISO 不能不懂的架構轉變:蜂群式多代理系統 ]
金管會強調,Mythos 等前沿 AI 模型已使金融機構面對之資安風險,由技術防護議題進一步擴展為治理、營運與韌性之綜合課題,金融機構應及早由高階管理層主導,將相關整備納入營運韌性與資安治理之優先事項。
金管會表示,未來將持續關注前沿 AI 模型能力、國際監理作法及金融實務需求之演進,適時滾動檢討相關推動方向,凝聚金融業因應前沿 AI 攻擊風險之共識與做法,以維持金融服務之安全與穩定。
(本文授權非營利轉載,請註明出處:CIO Taiwan)














