以 AI 技術為基礎的新創網路安全培訓平台 Jericho Security 宣佈,團隊近日已成功籌得 1,500 萬美元 A 輪融資,將於未來擴大投入技術研發工作,並持續尋找機會攻佔 AI 資安市場。
Jericho Security 過去曾贏得美國國防部價值 180 萬美元的任務合約,更使這家成立僅僅 2 年的 AI 資安初創企業,成為網路安全領域的閃耀新星。
回顧 2024 年 11 月,美國國防部決定跟 Jericho Security 簽下歷史上第一份生成式 AI 資安防禦合約,負責保護美軍免受日益複雜的網路釣魚攻擊,令該公司的知名度瞬間暴漲。
Jericho Security 聯合創辦人兼執行長 Sage Wohns 指出,團隊曾經發現一次針對美國空軍無人機駕駛員的網路釣魚攻擊,犯罪份子利用精心偽造的使用者手冊,意圖吸引軍方人士上鉤,這突顯出即使是訓練有素的美軍官兵,亦可能成為精妙詐欺行動的受害者。
以代理式 AI 為基礎的資安訓練系統
跟傳統資安訓練所依賴的靜態腳本,以及可事先預測的情境設定不同,Jericho Security 所研發的安全訓練平台,特地採用了代理式 AI(agentic AI)進行開發,進而創造出一套類似於真人攻擊者的自動化系統。
Jericho Security 借助生成式 AI 創造出逼真的網路釣魚事件,並模擬現實世界的各種攻擊情境,藉此強化企業員工的資安訓練體驗,亦同步導入客製化及多元的動態設定,協助採用單位為特定員工角色及需求規劃資安訓練。
Sage Wohns 表示,就像真正的人類一樣,Jericho Security 所研發的 AI 會適應使用者行為,並且學習哪些攻擊方法對特定員工最為有效。
舉例來說,若某位員工已經擁有基本的資安意識,通常都不理會可疑的電子郵件,那麼 AI 將會進一步模仿、發送看似來自高階主管的郵件,藉此在資安攻擊訓練中吸引員工上鉤。
Jericho Security 所開發的 AI 資安攻擊模擬十分多元,包括電子郵件、語音、文字訊息,甚至是視訊通話都能應對,同時 AI 還會根據員工的職業角色、行為模式及先前回應,創造出高度個人化的攻擊情境。
Jericho Security 專注模擬「明天的攻擊」
Jericho Security 表示「多管齊下」的 AI 攻擊模擬方式,解決了傳統資安訓練的基本限制,那就是大多數的訓練腳本都是針對「昨天的攻擊」,也就是模仿那些已知的攻擊手段,而非防範全然未知的「明天的攻擊」,因此由 AI 驅動的攻擊演練,確實可以替員工為將來的風險做好準備。
在 AI 驅動的資安訓練流程之下,Jericho Security 可以進一步得知組織當中,究竟哪些員工容易遭受哪些類型的攻擊,並且針對性的提出補救方案。
根據統計,若是跟單純接受傳統資安意識訓練的員工相比,接受 AI 模擬資安攻擊訓練的員工,遭到實際網路釣魚攻擊的成功可能性降低多達 64%。
深偽詐騙:一場 AI 視訊會議,騙走企業 1,600 萬台幣
透過 AI 所創造的資安威脅究竟有多嚴重?Sage Wohns 向外界分享了一個實際案例。他指出,新加坡某公司的一位財務長,過去曾在一場視訊會議中,遭到操作 AI 技術的不法人士詐騙近 50 萬美元,折合約新台幣 1,600 萬。
深入追查後發現,該名財務長所參加的視訊會議,雖然看似有著公司執行長與其他高階主管共同參加,但是那些人的聲音和影像,事實上都是不法份子蒐集公開的錄音、錄影資料後,透過 AI 所進行的深度偽造。
Sage Wohns 指出,上述攻擊事件源於一條貌似真實的 WhatsApp 訊息,要求該公司財務長發起緊急性的 Zoom 視訊會議,不法份子則在會議過程中,透過深偽技術和虛擬化身假扮高階主管,說服財務長授權轉帳。
這類以 AI 和深偽技術所發起詐騙,早已不再是單獨個案。根據 Resemble AI 近日發表的報告,光是 2025 年第一季,全球因深偽詐騙所造成的財務損失,其累積金額就超過 2 億美元,其中深偽詐騙於北美所發生的次數最多,比例高達 38%,其次為亞洲的 27%,以及歐洲的 21%。
不只員工會被騙,企業 AI 也成為目標
隨著 AI 在各行各業中獲得積極採用,Sage Wohns 也提出另一個更加令人擔憂的資安風險,那就是不法份子可能會透過 AI 代理釣魚 AI 代理。
Sage Wohns 解釋,由於 AI 工具在企業組織內部得到應用,例如負責客戶支援的聊天機器人,以及處理內部自動化任務等等,攻擊者已經開始瞄準這些 AI 代理程式進行直接攻擊,這會導致受騙的將不再只是人類員工,企業內部 AI 工具也成了攻擊目標,使資安風險進一步出現惡化。
Sage Wohns 認為,這樣的情況代表了網路安全格局的根本性轉變,當組織部署的 AI 代理可以存取內部系統、批准請求或提供資訊時,就會產生傳統資安防禦模式無法處理的全新攻擊面。
小型組織也被盯上,Jericho Security 推自助平台解決採購困擾
另一方面,雖然大型企業長久以來都是網路攻擊的主要目標,不過近來較小型的組織卻也逐漸發現,自己正在成為犯罪份子所盯上的對象。
Jericho Security 意識到這項全新趨勢後,決定推出針對小型企業推出自助服務平台,讓它們可以透過零接觸的方式,部署由 AI 所驅動的資安訓練任務,而無需擔心冗長的採購流程,有興趣的客戶甚至現在就可以申請 7 天免費試用,隨意探索公司產品且無須聯絡業務員。
Sage Wohns 表示,Jericho Security 的 AI 資安訓練方案獲得旗下客戶好評,短短 30 天就可以協助客戶識別多種漏洞,接著提出高度客製化的動態修復方案,化解企業對傳統資安訓練方法效率不足的沮喪。
如何跟上 AI 演進腳步,成為資安最大挑戰
回歸 Jericho Security 所獲取的 1,500 萬美元資金挹注,該公司表示,這筆錢將被投入到技術研發、拓展資安市場,以及擴大 Jericho Security 目前的團隊規模,最後一項會主要聚焦在 AI 和網路安全人才。
Jericho Security 執行長 Sage Wohns 認為,目前公司最大的技術挑戰之一,就是如何跟上 AI 本身快速演進的腳步;由於工具、模型和技術正以驚人的速度不斷改進,這意味著資安團隊的組織架構,需要擁有足夠的靈活性來快速適應。
隨著 AI 使人類跟機器之間的互動方式出現改變,數位環境中關於「信任」的本質也被重新定義,即便是視訊通話中的主管、來自 IT 支援的緊急郵件,甚至是負責顧客服務的 AI 聊天機器人,全都有可能成為遭到攻擊的目標。
對此 Jericho Security 認為,一套最好的資安防禦方法,不只是要教導員工懂得多加懷疑,更是讓員工在真正的攻擊者發起行動之前,知道自己可能會被哪種手段欺騙。
【推薦閱讀】
◆ 【AI 直闖戰場了】生成式 AI 正學習為美軍收集軍情,甚至破解中國網路牆
◆ 影子 AI 正在企業悄悄擴散——AI 工具禁不了,如何務實防護資安?
◆ 去年全球詐騙金額高達 6,880 億美元,Google 推 4 大策略與區域論壇因應
*本文開放合作夥伴轉載,參考資料:《VentureBeat》、《SiliconAngle》,首圖來源:Hippopx
(責任編輯:鄒家彥)
