守護生活日常,穩定國家運作
隨著AI技術迅速演進,資安威脅型態也同步升級。面對AI成為攻擊與防禦雙重戰場,各國政府與國際組織紛紛強化治理與標準,積極建構更安全、可信的數位環境。 文-宋家琪 圖-陳素芳 近年來,資訊安全(Cybersecurity)議題頻頻出現在影視作品中,從紀錄片《零日網路戰Zero Days》、影集《零日風暴》,到動畫電影《名偵探柯南:零的執行人》,都以不同角度描繪現今數位世界可能發生的攻防戰。 從手機中的個人資訊、金融交易的安全,到通訊設備、水電系統、交通運輸等基礎建設的穩定運作,背後其實都仰賴一套看不見卻至關重要的資安機制在維繫。資安的價值,從個人生活大小事一路延伸到國家範疇。

▲從個人資訊到基礎建設的穩定運作,背後其實都仰賴一套看不見卻至關重要的資安機制在維繫。圖/達志影像
數位浪潮下新挑戰 資安觀念須與時俱進 如今,隨著機器學習(Machine Learning)、深度學習(Deep Learning)與自然語言處理(Natural Language Processing)等技術的快速發展,AI正以前所未有的速度學習與演化,也正在改寫資安的定義與防禦邏輯。它帶來全新的機會,也揭示更多潛在的風險,若民眾對資安的意識沒有與時俱進,恐怕難以應對當前數位環境的變化。 根據數位發展部數位產業署委託辦理的「資安產業跨域聯防推動計畫網站」規納,資訊安全產業可以分為資安防護、資安營運、資安支援三大面向。 在資安防護方面,產業涵蓋終端與行動裝置防護、網路安全防護、資料與雲端應用安全及物聯網安全防護等領域;資安營運產業包括資安營運管理服務和資安檢測鑑識顧問服務;資安支援產業則涵蓋系統整合建置服務、資安訓練與保險。
AI成為雙刃劍 資安定義持續演變 根據世界經濟論壇(World Economic Forum)發布的「人工智慧與網路安全:平衡風險與效益報告」(Artifcial Intelligence and Cybersecurity: Balancing Risks and Rewards report),AI對資安的影響,可大致分為3個面向:
1.利用AI強化攻擊手法(The use of AI by threat actors) 威脅行為者(reat Actors)正積極運用AI技術來升級攻擊能力,使其戰術更具破壞性、精準度與規模化。例如:生成式AI被用於提升網路釣魚郵件的擬真度、自動化滲透流程,甚至大量製造假訊息,讓攻擊更難被辨識與阻擋。 AI對既有攻擊手法的強化,已在實務上逐步顯現。歐盟網際安全局(European Union Agency for Cybersecurity,簡稱ENISA)於2024年公布了七大網路威脅,包括可用性威脅、勒索軟體、資料攻擊、惡意軟體、社交工程、資訊操控與干預,以及供應鏈攻擊。 其中,對「社交工程」、「資訊操控」與「資料攻擊」3項的衝擊最大,幾乎已進入AI主導型階段;而「勒索軟體」與「供應鏈攻擊」的破壞力也因AI介入顯著提升,成為駭客攻擊數位防線與竊取機敏資訊的新手段。
2.防禦方導入AI(The use of AI by defenders) 在攻擊面不斷擴大的同時,資安防禦方也正積極導入AI技術,以提升整體防護效能。AI能整合並分析來自多個來源的大量資料,協助辨識潛在威脅的行為模式,進而擴大預警範圍、提升異常偵測的準確性,並支援自動修復與即時應變,大幅縮短事件回應時間,使整體防禦機制更加智慧化、自動化。 隨著技術發展成熟,AI的角色也正從單純的資料分析工具,邁向更高階的決策輔助功能。例如:透過「檢索增強生成」(Retrieval-Augmented Generation,簡稱RAG)技術,AI能從龐大的知識庫中擷取關鍵資訊,協助資安分析師快速釐清複雜情境、制定應對策略;同時也能追蹤並關聯各類安全事件中的「入侵指標」(Indicators of Compromise,簡稱IoC),針對不同攻擊案例提供具體建議,進一步強化威脅獵捕與事件回應的能力。
3.AI本身成為新的資安戰場(Cybersecurity for AI) 隨著AI技術在各類系統與流程中的應用日益普及,其本身也逐漸成為駭客的新攻擊目標。AI模型普遍面臨資料投毒(Data Poisoning)、模型竊取(Model Theft)、對抗樣本(Adversarial Examples)等新型威脅,這些手法可能削弱模型判斷力,甚至曲解其輸出結果,帶來風險。 其中,一般民眾日常接觸的生成式AI工具,多數是以大型語言模型(LLM)為基礎所打造,這類應用面臨的攻擊手法更具針對性與複雜性。根據國際非營利組織OWASP(Open Worldwide Application Security Project)發布的《十大LLM應用風險》報告指出,「提示注入(Prompt Injection)」被列為當前最嚴重的風險之一。這類攻擊透過設計特定語句誘導模型執行非預期指令,可能造成資料外洩、決策偏誤等,是目前最常見的攻擊途徑。 這些風險使AI所依賴的演算法與訓練資料本身成為攻擊標的,導致整體攻擊面(Attack Surface)顯著擴張。傳統IT架構下的防禦策略恐怕難以全面涵蓋,促使防護端邁向全新的治理思維與設計模式。因此,如何透過AI強化資安防護、並同時防範AI相關的安全風險,已成為企業、金融機構、政府的關鍵課題,也凸顯出保護語言模型、數據資源與演算法不被攻擊的戰略重要性。

▲AI導入資安場域後也帶來新的挑戰,例如:深度偽造(Deepfake)技術的濫用持續擴大,從偽造高層聲音與簽名,到生成假影片影響輿論與法律程序等。圖/達志影像
應用層面快速擴大 AI助攻產業資安轉型 在這股變化之下,臺灣也積極調整資安發展方向,核心目標在於強化防護能力、擴大產業動能。除了推動資安成為國家五大信賴產業之一以外,也將「產業資安化」與「資安產業化」作為數位轉型下的兩大主軸。 在企業端,資安導向的AI應用逐步轉為系統化部署。許多大型企業已整合AI於既有資安平臺中,用於提升預警能力與防禦效率。中小企業則偏向採用雲端資安服務(Security-asa-Service),以AI分析能力補足人力資源與監控能力的落差。 金融業則多以詐欺偵測與交易監控為主要應用場景。多家銀行已部署AI識詐模型,結合異常行為分析與即時交易資料,能在帳戶異常初期即時偵測並示警,降低金融損失與客戶風險。 政府部門方面,除了發布《國家資通安全戰略2025》、《國家資通安全方案》等政策,也同步推動實質技術落地,以實現打造堅韌、安全、可信賴智慧國家的願景。
新型風險出現 實戰模擬加強防線 除了前述挑戰外,AI導入資安領域後,近期衍生出更多需被重視的新型風險。首先是「影子AI(Shadow AI)」問題,這類風險不只來自員工,還包括外包廠商、短期人員,甚至主管等未經資訊安全部門授權的情況下,私自使用AI工具完成工作,可能成為資料外洩風險來源。其次是深度偽造(Deepfake)技術的濫用持續擴大,從偽造高層聲音與簽名,到生成假影片影響輿論與法律程序等。根據世界經濟論壇發布的報告《2025全球資安展望》(Global Cybersecurity Outlook 2025)指出,2023至2024年間,暗網論壇中深偽技術相關交易已激增223%,風險已進入實際攻擊層次。 因此,許多企業與政府機構開始導入「攻擊面管理(Attack Surface Management,簡稱ASM)」、「零信任架構(Zero Trust Architecture,簡稱ZTA)」等新型資安策略,並結合紅隊演練、藍隊演練等實戰模擬方式,盤點系統漏洞、驗證防禦強度,並對AI模型、訓練資料與推理機制建立全面監控。這樣的全方位應對機制,已成為AI世代下資安治理的關鍵。
規範同步進化 調整AI資安治理框架 各國政府與國際組織也陸續發布AI資安的指引與政策,強調面對新型技術發展所需的基本治理要求。具代表性的指引與標準包括: 1.新加坡資安局(CSA): 《AI系統安全指引》(Guidelines on Securing AI Systems)及配套指南,提供開發與管理AI模型的實務建議。 2.英國科技創新部(DSIT): 《AI資安實務準則》(Codeof Practice for the Cyber Security of AI),聚焦於AI模型部署、資料完整性與風險管控。 3.開放網路軟體安全計畫OWASP: 《AI安全與隱私指南》(AI Security and Privacy Guide),提供建構安全且具隱私保護的AI系統實務建議,涵蓋威脅建模、資料安全與部署操作,並強調將安全性納入AI的整個開發流程中。

▲許多企業與政府機構開始導入「攻擊面管理」等新型資安策略,盤點系統漏洞、驗證防禦強度,並對AI模型、訓練資料與推理機制建立全面監控。圖/達志影像
4.歐盟: 《歐盟AI法案(EU AI Act)》,為全球首部全面規範AI的法案,根據風險等級對AI系統進行分類,對高風險應用設定嚴格的安全與透明度要求。 5.美國國家標準與技術研究所(NIST): 網路安全框架(Cybersecurity Framework,簡稱CSF)提供資安治理的參考架構,於2024年更新至2.0版,涵蓋治理(Govern)、識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)六大核心功能。 6.ISO/IEC 42001人工智慧管理系統: 是全球首部針對AI管理系統的國際標準,能提供企業一套結構化的方法,建立AI發展與部署的全流程控管機制。 7.ISO/IEC 27001資訊安全管理系統: 是一套全面的資安管理框架,可幫助組織管理和保護資訊資產,提供從風險評估、權限控管到應變機制的指引。 這些標準與政策的推進,不僅回應了AI帶來的安全挑戰,更逐步建立一套可跨國溝通、可持續調整的資安治理框架。
閱讀完整內容本文摘錄自
AI改寫資安格局 防禦與攻擊同步進化
《經貿透視》雙周刊
2025/6月 第669期
相關