loading...
面對新興AI模型快速進化、漏洞攻擊能力大幅提升,數位發展部資通安全署5月14日表示,包括Anthropic「Claude Mythos」與OpenAIGPT-5.5等新模型,已展現強大漏洞挖掘與攻擊能力,資安實務也正從過去「預防受駭」,逐漸轉向「盡快復原、減少傷害」的新階段。資安署將透過3項作為,攜手產官學強化台灣整體數位安全韌性。
資安署指出,近期國際資安界高度關注最新AI模型在資安領域的能力變化。其中,美國Anthropic公司最新模型「Claude Mythos Preview」,已在主流作業系統與網頁瀏覽器中找出數千個高嚴重性漏洞,漏洞利用成功率高達72%。
資安署表示,Mythos在紅隊能力評估實驗中,甚至找出潛藏長達27年的OpenBSD作業系統漏洞;OpenAI日前發布的GPT-5.5,可大幅提升既有攻擊手法的效率與規模,協助將漏洞轉化為實際可運用的攻擊工具。
面對新興AI模型快速演進,資安署提出3項應對作為。第一,及早掌握AI模型在資安攻防上的最新動向,引進相關防禦工具與經驗;第二,邀集產官學決策層,共同研商國家級新興AI因應策略;第三,持續強化中小微企業資安防護支持,推動更多企業加入TWCERT/CC(台灣電腦網路危機處理暨協調中心),避免因企業規模較小而錯失資安警訊。
資安署建議,企業與政府機關應從策略、管理及技術3個層面同步推動資安防護。
策略面,應將漏洞管理提升為營運級風險:由企業經營層或政府機關首長親自督導,並將資安資源從單一預防投入,調整為涵蓋預防、偵測、應變及復原的整體韌性投資。
管理面,定期演練復原能力、最小權限原則:企業與政府機關應確保資料具備可離線、可還原的備份機制,並加強營運持續計畫(BCP)演練,同時落實最低權限原則。
技術面,以縱深防禦縮短偵測與反應時間:優先修補對外系統的公共漏洞與暴露(CVE),全面啟用多因子驗證(MFA)、採用建立於FIDO2標準的Passkey憑證技術,並停用非必要的對外服務與測試介面。
資安署指出,根據「零日漏洞時鐘(Zero Day Clock)」追蹤資料,漏洞從揭露到被實際利用的時間中位數,已從2018年的771天,急遽縮短至2024年的4小時;到了2026年,部分漏洞甚至在揭露前就已遭利用。
資安署認為,新興AI工具已大幅縮短既有弱點被利用的時間,甚至超出人力反應速度,資安實務正面臨從「預防受駭」轉向「盡快復原、減少傷害」的典範轉移。
資安署也提出3項觀察,包括AI讓攻擊成本大幅降低、攻擊規模擴大,上市櫃公司、中小企業及地方政府機關都可能成為目標;此外,過去因利用難度高、影響範圍有限而被排在修補清單末端的冷門漏洞與閒置系統,如今也可能被AI重新利用;未來企業資安投入的優先順序,應從「預防被打」轉向「迅速復原」,當攻擊可低成本、大規模發動後,資安重點也應轉為縮短復原時間、降低損失,並將「韌性」列為優先目標。
資安署表示,AI改變的是攻擊速度與成本,但並未改變資安基本原則,包括網路縱深防禦、漏洞管理與嚴謹的身分識別等核心做法,目前仍然有效。企業與政府機關應盡速重新評估自身資安風險與漏洞修補清單,強化防護能力。
