當「數千台 Moltbot(前稱 ClawdBots)在無認證狀態下暴露於公網」的消息傳出,這不再只是資安社群的技術警語,而是敲向董事會的一記警鐘。這些具備瀏覽網頁、呼叫工具、存取檔案及內部端點能力的 AI 代理人,本質上是擁有特權的「數位員工」,而它們的登入入口,此刻正對著整個網際網路敞開大門。對企業決策者而言,這並非單純技術債,而是生存風險。
一、從實驗品到攻擊面:AI 代理人的信任崩壞
Moltbot 事件揭露一個殘酷現實:當員工為求效率,將基於 Model Context Protocol(MCP)的 AI 助理部署於公有雲 VPS 時,往往直接套用「開箱即用」的預設設定,當中包含對外開放的連接埠、零認證機制,以及完整系統權限。
根據 Knostic 網際網路掃描顯示,目前已有 1,862 台 MCP 伺服器暴露於公網且無任何認證。資安團隊抽樣測試其中 119 台,發現全部無需憑證即可存取。這意味著攻擊者無需破解密碼,只需掃描 IP 段就能接管這些能讀取郵件、執行程式碼、甚至存取資料庫的數位助手。
麥肯錫研究指出,80% 企業已經歷過 AI 代理人的「異常行為」,包括不當存取未授權系統、下載敏感資料或跨系統橫向移動。問題不在於「會否發生」,而在於「何時發現」。
二、自主式威脅:比傳統外洩更危險的攻擊鏈
與傳統資料外洩不同,AI 代理人帶來的是「自主式資料劫掠」:
1. 工具濫用與權限擴張 AI 代理人具備「規劃與執行」能力,能自主決定呼叫哪些 API 或工具。攻擊者可透過提示注入(Prompt Injection)劫持其決策流程,令其誤判指令來源。例如一個被入侵的排程代理人可偽造身份,向醫療資料代理人索取病歷,系統會因信任鏈而放行。
2. 記憶體下毒(Memory Poisoning) 具備長期記憶的代理人會累積跨會話資訊。攻擊者注入的虛假資料會持續影響未來決策,例如篡改供應商帳戶資訊,導致後續所有合法付款均轉入詐騙帳戶。
3. 供應鏈與橫向移動 當 AI 代理人串接成工作流程(Agent Chain),單一漏洞會產生連鎖反應。研究顯示,部署 10 個 MCP 外掛程式即創造高達 92% 攻擊成功率。LangChain 與 Langflow 等框架近期爆出的遠端程式碼執行漏洞(CVE-2025-68664、CVE-2025-3248),證明這些工具鏈本身就是高價值攻擊目標。
IBM《2025 年資料外洩成本報告》指出,涉及未經授權 AI 使用的外洩事件,平均損失比傳統外洩高出 67 萬美元(約港幣 522.6 萬元),且需 247 天才能偵測。
三、四道防線:從今天開始的零信任架構
面對這種「數位內部人員」風險,傳統邊界防禦已不足夠。企業需立即採取以下 4 項措施:
1. 網路隔離:關閉公網大門
絕不將 AI 代理人管理介面暴露於公網。透過 VPN、私有網段或 IP 白名單限制存取,並實施「預設拒絕」的外向連線原則(Default-Deny Egress),防止被入侵的代理人對外傳輸資料。
2. 身份與授權:代理人專屬特權管理
為每個 AI 代理人配置獨立服務身份(Service Identity),採用最小權限原則(Least Privilege)。關鍵操作如財務轉帳、資料刪除、程式部署等,必須導入「人類在環」(Human-in-the-Loop)審批,而非由代理人全權決定。
認證機制必須強制實行 JWT、OAuth 2.0 或 mTLS,並絕對禁止使用預設密碼或硬編碼金鑰。
3. 金鑰輪換:假設入侵已經發生
鑑於目前網路上已有大量無認證節點,企業應假設相關金鑰與憑證可能已遭掃描並洩露。應立即輪換所有 AI 代理人相關 API Key、資料庫連線字串與雲端憑證,並導入自動化輪換機制。
4. 可觀測性與威脅偵測
建立完整代理人行為日誌,記錄每個提示(Prompt)、工具呼叫、資料存取與決策點。實施速率限制(Rate Limiting)防止過度呼叫,並設置異常行為告警,例如代理人在非上班時間存取敏感資料,或突然嘗試呼叫未授權工具。
四、治理與合規:香港法規下的管理層責任
在香港嚴格的《個人資料(私隱)條例》監管下,AI 代理人的自主行為若導致資料外洩,企業管理層將面臨直接法律追究。私隱專員公署已將 AI 系統納入「保障資料第四原則——資料保安」管轄範圍,要求資料使用者採取「所有切實可行步驟」,確保個人資料受保障而不受未獲准許或意外查閱、處理、刪除或喪失所影響。
一旦 AI 代理人因配置不當(如開放公網連接埠、缺乏認證)導致客戶或員工個人資料外洩,企業可能面臨私隱專員發出的執行通知(Enforcement Notice),要求立即糾正違規行為。不遵守執行通知即屬犯罪,首次定罪最高可判罰款 5 萬港元及監禁 2 年。若涉及重複違規或更嚴重的「起底」行為,最高罰款可達 100 萬港元及監禁 5 年。管理層無法再以「技術問題」推卸責任,因為《條例》下的法律責任直接指向「資料使用者」,即企業及其決策者。
對香港企業決策者而言,這意味著:
建立 AI 資產盤點:掌握組織內有多少代理人正在運作、具備哪些權限、存取何種個人資料,以符合條例問責原則。
紅隊測試常態化:定期模擬攻擊(Red Teaming)測試代理人對提示注入與權限提升的抵禦能力,確保「切實可行保安措施」不落於空談。
第三方風險控管:審查 SaaS 供應商 AI 功能是否具備適當驗證與隔離機制,避免「影子 AI」成為違反條例的突破口。
結語:生產級安全是競爭力底線
AI 代理人價值在於自主執行,但這把雙刃劍也意味著一旦失控,損害將以機器速度自動擴散。Moltbot 事件提醒企業:演示級(Demo-grade)部署心態在公網上形同裸奔。當競爭對手正在利用 AI 代理人提升效率,您的企業能否在確保「看得見、管得住、追得回」的前提下安全釋放這股生產力?答案不在於禁止技術採用,而在於今日就將 AI 代理人視為特權帳號(Privileged Account)進行治理。切勿讓一個月費 20 美元(約港幣 156 元)的 AI 帳號,成為導致數百萬港元合規罰款的後門。
