loading...
新興AI模型快速進化,利用系統漏洞攻擊的能力隨之大幅提升,數位發展部資通安全署14日表示,包括Anthropic「Claude Mythos」與OpenAI的GPT-5.5等新模型,展現出強大的漏洞挖掘與攻擊能力,資安實務正從「預防受駭」,逐漸轉向「盡快復原、減少傷害」的新階段。資安署將透過3項作為,攜手產官學強化台灣整體數位安全韌性。
近期國際資安界高度關注最新AI模型在資安領域的能力變化。其中,美國Anthropic公司最新模型「Claude Mythos Preview」,已在主流作業系統與網頁瀏覽器中找出數千個高風險漏洞,漏洞利用成功率高達72%;GPT-5.5可大幅提升既有攻擊手法的效率與規模,協助將漏洞轉化為實際可運用的攻擊工具。
根據「零日漏洞時鐘(Zero Day Clock)」追蹤資料,漏洞從揭露到被實際利用的時間中位數,已從2018年的771天,急遽縮短至2024年的4小時;到了2026年,部分漏洞甚至在揭露前就已遭利用。
資安署認為,新興AI工具已大幅縮短既有弱點被利用的時間,甚至超出人力反應速度,資安實務正面臨從「預防受駭」轉向「盡快復原、減少傷害」的典範轉移。
面對新興AI模型快速演進,資安署提出3項應對作為。第一,及早掌握AI模型在資安攻防上的最新動向,引進相關防禦工具與經驗;第二,邀集產官學決策層,共同研商國家級新興AI因應策略;第三,持續強化中小微企業資安防護支持,推動更多企業加入TWCERT/CC(台灣電腦網路危機處理暨協調中心),避免因企業規模較小而錯失資安警訊。
資安署建議,企業與政府機關應從策略、管理及技術3個層面同步推動資安防護。策略面,應將漏洞管理提升為營運級風險。管理面,定期演練復原能力、最小權限原則,企業與政府機關應確保資料具備可離線、可還原的備份機制。技術面,以縱深防禦縮短偵測與反應時間。
資安署表示,AI改變的是攻擊速度與成本,但並未改變資安基本原則,包括網路縱深防禦、漏洞管理與嚴謹的身分識別等核心做法,目前仍然有效。企業與政府機關應盡速重新評估自身資安風險與漏洞修補清單,強化防護能力。◇
