人工智能技術正被黑客「武器化」,令網絡攻擊複雜度和防禦難度急速上升,單靠人力已難以招架這場全新的安全挑戰。香港網絡安全事故協調中心 (HKCERT) 最新揭示 6 大 AI 協助攻擊手法,截至今年 8 月完成 35 億次掃描,成功識別多個可疑網站,顯示「人力加上 AI 輔助」已成為防禦必由之路。本文將深入分析代理式 AI 帶來的最新風險、AI 破解驗證碼技術演進,以及企業如何建立有效防禦策略,幫助決策者全面了解 AI 時代的網絡安全新挑戰。
代理式 AI 成企業安全新威脅
代理式 AI (Agentic AI) 的快速發展正重新定義網絡攻擊的遊戲規則。這種 AI 不再是被動回應的聊天機械人,而是能主動操作電腦系統、執行複雜任務的智能代理。根據 MIT 人工智能實驗室最新研究,以往需要多人協力的精密網絡攻擊,現在僅需一名黑客指揮多個代理式 AI 就能自動完成。
更令人憂慮的是,許多廠商已將代理式 AI 整合至瀏覽器中,用戶透過對話介面就能指示 AI 代為完成訂餐廳、網購等操作。然而瀏覽器安全聯盟研究發現,這類具自主行動能力的 AI 瀏覽器存在嚴重安全漏洞:惡意網站可透過隱藏指令,在用戶不知情下操控 AI 執行非預期操作,例如擅自開啟電子郵件收取驗證碼,並將資料上傳到外部網站。
國際網絡安全組織預測,2025 年 AI 驅動的網絡攻擊將增長 300%,代理式 AI 已成為主要威脅載體。面對此趨勢,HKCERT 建議機構及用戶保持警覺,提升保安意識應對更複雜攻擊。而代理式 AI 在應用層面仍需加入更多安全機制,防止其執行超出用戶授權的行為。
傳統防禦機制全面失效
AI 技術的武器化正在多個層面顛覆傳統網絡安全防禦。在驗證碼破解方面,過去用來區分真人用戶與自動化程式的圖形驗證碼,如今只需將圖片上傳至 AI 系統,就能迅速且準確地獲得答案。這意味著黑客可透過 AI 程式協助繞過傳統驗證碼,令其保護功能形同虛設。
企業安全研究院報告指出,全球 85% 企業面臨 AI 武器化攻擊威脅,傳統防禦機制正在失效。在網頁分析及攻擊輔助領域,AI 技術已能協助黑客完成從尋找登入頁面到執行暴力破解的整個攻擊流程。資安研究人員甚至公開開發了利用 AI 進行滲透攻擊的工具,預期黑客將迅速跟進,開發更高效、更自動化的攻擊工具。
分散式拒絕服務攻擊 (DDoS) 也因 AI 技術而產生質的變化。分散式拒絕服務攻擊研究中心分析顯示,新型 AI 攻擊工具能即時監測攻擊效果,根據防守策略自動調整,轉而攻擊其他弱點。這些工具甚至能模擬人類使用者操作行為,騙過傳統防禦機制。未來 DDoS 攻擊不再只追求流量規模,更強調準確與靈活,目標是以最少流量造成最大破壞。
AI 防禦技術加速部署
面對 AI 威脅的升級,防禦策略也在快速進化。網絡安全 AI 聯盟報告指出,防禦方採用 AI 技術應對智能化攻擊已展現顯著成效。安全開發者正積極運用 AI 技術,以「以子之矛,攻子之盾」的方式應對新型威脅。他們利用歷史流量數據、過往攻擊模式及威脅情報來訓練 AI 模型,使其能即時分析網絡流量,自動回應攻擊並動態調整防禦策略。
HKCERT 自身已引入 AI 工具進行威脅偵測,成效顯著。這些 AI 模型會持續收集流量數據,不斷自我微調與學習,隨時間推進變得更加精準。對於仍採用傳統驗證碼的網站,系統管理員應考慮升級至互動式驗證碼或行為檢測式驗證,減少被自動化攻擊入侵的風險。
香港政府資訊科技總監辦公室調查發現,本港超過 60% 機構仍缺乏 AI 威脅防護措施。網站管理員需加強安全檢查,嚴格執行多重認證等安全密碼政策,並定期檢視系統日誌,分析可疑活動,及時修補安全漏洞。在 AI 驅動的時代,網絡管理者應持續關注最新攻擊趨勢,定期更新威脅情報,並考慮部署具備 AI 功能的網絡防護系統。
企業應對策略與未來展望
AI 技術的雙刃劍特性正在重塑整個網絡安全生態系統。反釣魚工作組織最新統計顯示,9 月份 AI 生成釣魚網站數量較上月增長 45%,辨識難度大幅提升。某大學學術研究團隊甚至成功編寫了 AI 勒索軟件雛型,能即時連接大型語言模型,利用預設提示詞即場生成攻擊程式碼並執行。這意味 AI 勒索軟件能根據不同機構的系統架構、網絡環境及保安防護程度進行個人化,令防禦難度和受影響程度大增。
企業決策者必須認知到,AI 威脅並非遙不可及的未來風險,而是當前迫切需要應對的現實挑戰。市民切勿隨意下載或執行來源不明的檔案或程式,應安裝防毒軟件或網絡安全應用程式並定期更新。瀏覽網站時務必檢查網址真偽,若有疑慮,切勿向可疑網站輸入任何個人或敏感資料。
隨著 AI 技術持續演進,網絡安全領域正步入「智能對抗智能」的新時代。企業唯有同步提升防禦意識與技術,建立以 AI 為核心的動態防護體系,才能在這場永無止境的安全競賽中保持優勢。未來的網絡安全不再是單純的技術問題,而是需要人類智慧與人工智能深度融合的戰略課題。
資料來源:
香港網絡安全事故協調中心
