文/鄭宜芬
過去漏洞管理的瓶頸在於人力不足與修補速度有限;如今,AI 正在改變攻防雙方的能力邊界。前沿 AI 模型已展現接近頂尖駭客的漏洞挖掘能力,不僅能在短時間內發現大量高風險漏洞,甚至具備執行完整攻擊鏈的潛力。當攻擊者開始利用 AI 大規模發掘漏洞並加速武器化,企業面臨的將是攻擊成本、速度與規模的加速失衡。
數位發展部資通安全署署長蔡福隆於 InfoSec Taiwan 2026 指出,未來資安工作的重點將是透過 AI 驅動的漏洞挖掘、自動化驗證與科學化修補策略,建立更具韌性的防禦體系。隨著全球主要國家加速布局 AI 安全治理與後量子密碼(PQC),企業資安治理模式正從「被動修補」走向「主動預測與自動化防禦」的新階段。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
AI 已具備自主發掘漏洞能力
蔡福隆表示,Anthropic Claude Mythos、OpenAI GPT-5.5 與微軟 MDASH 等前沿 AI 模型,已展現強大的漏洞挖掘與攻擊能力,已可迅速找出數千個高嚴重性漏洞,未來可能大幅提升既有攻擊手法的效率與規模,駭客可輕易將漏洞轉化為可實際運用的攻擊工具。
例如,Anthropic 發表的 Claude Mythos Preview,已展現接近頂尖人類駭客的漏洞研究能力。該模型成功找出潛藏於 OpenBSD 長達 27 年的漏洞,也曾在 Firefox 瀏覽器中一次發現 22 項安全漏洞。
英國 AI 安全研究所(AISI)對 Mythos 進行的獨立測試更顯示,Mythos 在 10 次嘗試中有 3 次成功自主完成了高達 32 個步驟的企業網路滲透模擬,成為史上首個具備完整攻擊鏈能力的 AI 模型之一。未來,防禦方必須投入比攻擊方多出數倍的 Token 算力預算來自動化封堵漏洞。
漏洞管理進入 AI 時代
隨著 AI 提升漏洞發現能力,企業將面臨大量修補需求。
蔡福隆指出,企業應建立科學化的漏洞修補機制,依據風險等級、業務衝擊與攻擊可能性進行優先排序。尤其是 Internet-facing 系統、列入已知遭利用弱點(KEV)清單的漏洞,以及 CVSS 高風險弱點,應優先處理。
此外,企業必須提升資產可視性與盤點能力,在零時差漏洞事件發生時,能快速辨識受影響的系統與端點,並依既定策略進行風險緩解。
[ 推薦閱讀:主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題 ]
以 AI 打 AI 成為防禦新模式
面對 AI 武器化趨勢,國際科技產業已開始建立聯防機制。由 AWS、Apple、Google、Microsoft 及 NVIDIA 等科技大廠共同推動的 Project Glasswing,即以大規模漏洞掃描與自動化修補為目標,以期在漏洞遭武器化之前提前完成防護。
資安署與資安院也正規劃結合民間資安公司組成 AI 防禦國家隊,培養運用 AI 進行漏洞挖掘與風險評估的人才與能力。
未來 AI 輔助檢測能力,將成為企業資安團隊的基本能力,包括弱點掃描與驗證、滲透測試輔助、程式碼安全檢測、漏洞優先排序以及威脅情資分析等。
同時,當 AI 在短時間內發現並利用漏洞,假設「系統終將被入侵」的思維將更為重要。蔡福隆建議,企業應重新檢視網路切割、微隔離、最小權限原則、離線備份與復原演練以及營運持續計畫(BCP),透過縮小攻擊面與限制橫向移動能力,即使部分系統遭到入侵,也能降低整體營運衝擊。
[ 推薦閱讀:剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦 ]
全球 AI 安全治理聯防新階段
目前國際社會對於 AI 安全的控管已進入法制化與標準化的階段。除了政府有效監管、預先防堵漏洞以及公私協力聯防,各國亦有不同的具體作為。
例如,美國政府與科技廠商採取「預防性控管」與「防禦優先」的策略。2026 年 6 月 2 日白宮發布 EO14409 行政命令,著重於強化美國政府聯邦及 CI 資訊系統以因應新型 AI;另請 AI 產業業者與 CI 提供者共同參與系統漏洞的發現與驗證,及優先排序修補工作。
鑑於 Mythos 具備自主攻破系統能力,Anthropic 並未向大眾公開此模型,而是與美國政府及科技大廠聯合發起 Anthropic Project Glasswing,並且設定防禦性配額。
新加坡在經歷相關資安事件後,發布了涵蓋短期立即應變與長期強化韌性的安全規範;日本則透過 Project YATA-Shield 計畫推動測試與防禦機制;澳洲亦成立了相關組織(ASI)並與全球研究網路串接。
蔡福隆表示,我國因應前沿 AI 的威脅擬定國家防禦部署,包括公私協力測試前沿 AI 模型、制定漏洞修補策略及強化情資分享,以及避免不必要的連網。資安署亦建議政府機關三項資安防護基本功,在策略面將漏洞管理提升為營運級風險;在管理面定期演練復原能力與最小權限原則;在技術面上以縱深防禦縮短偵測與反應時間。
[ 推薦閱讀:AI 時代的新課題:企業如何建立 Token 治理? ]
後量子密碼轉型已進入準備階段
除了 AI 帶來的新型威脅,量子運算的發展也促使全球啟動後量子密碼(PQC)遷移。在「第七期國家資通安全發展方案」的技術佈局中,後量子密碼(PQC)的轉換已成為重點技術轉型項目。
蔡福隆表示,根據目前的盤點現況,PQC 的協定支援主要集中在金鑰交換(Key Exchange)與數位簽章(Digital Signature)兩大領域。
政府規劃於 2028 年前完成密碼資產盤點、風險評鑑與遷移規劃,2030 年前完成高風險系統的優先遷移,2035 年完成政府全面轉換。同時持續關注服務供應鏈整備程度。
同時,企業也應參考政府標準來識別組織內哪些數據具有「先攔截、後解密」的高風險特質,盡早完成密碼資產盤點。
隨著 AI 技術的快速迭代,蔡福隆強調,企業應積極參與政府倡導的國家隊體系,與公部門共享威脅情報,並在內部推動 AI 安全人才的培訓。透過建立落地端的測試環境、落實微隔離架構,以及引入 AI 輔助的自動化防禦工具,組織才能在 AI 浪潮中,建構出能夠抵禦未來威脅的數位韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















