生成式 AI 正快速提升軟體開發的速度與產出規模,但企業正在發現一個結構性問題:跟不上的不是開發能力,而是驗證與防禦能力。當 AI 產生的程式碼量爆炸性成長,漏洞、權限與供應鏈風險也同步擴張,而懂得辨識、治理與控制這些風險的人才,正變得極度稀缺。
Mythos 問世後,企業對資安主管需求暴增五到七倍
今年 4 月,Anthropic 宣布推出 Mythos 模型預覽版,聲稱其在找出並利用全球電網、金融機構與大型企業所依賴之軟體系統漏洞「出色到令人警惕」,並以此為由只向少數合作夥伴開放測試。一週後,OpenAI 也推出類似定位的 GPT-5.5-Cyber。這兩起消息在企業界引發了緊急評估熱潮。
專注於資安高階主管招募的 Hitch Partners 管理合夥人 Michael Piacente 向《紐約時報》表示,自 Anthropic 開始預覽 Mythos 以來,企業尋求高度技術型資安主管的需求快速升溫,其公司接到的相關委託案已暴增五到七倍,「我們因此婉拒了相當數量的委託。」
服務財星(Fortune)百大企業的獵頭公司 Heidrick & Struggles 高管人才顧問 Austin Cowan 也向《紐約時報》表示,過去需要 12 個月才會出現一次的職缺委託,現在每週都在發生,「我認為這是由 AI 軍備競賽中的恐懼與不確定性所驅動的。」求職平台 Glassdoor 的數據也印證了這股浪潮:今年第一季資安職缺發布量較去年同期成長 11%。
71% 受訪企業:人才短缺為直接商業風險
資安公司 Fortinet 今年發布的全球資安技能缺口報告,對這個問題提供了更系統性的描述。這份調查涵蓋 32 個國家、逾 2,750 位 IT 與資安決策者,結果顯示 71% 的受訪組織將人才短缺視為直接的商業風險,逾半數在招募資安人員方面遭遇困難,其中 52% 同時面臨留才問題。ISC2 的數據則顯示,全球未填補的資安職缺已達 480 萬個,三分之二的組織坦承僅憑內部資源已無法確保資料安全。
該報告進一步揭示,AI 正在重塑雇主對人才的要求:六成受訪者表示最大的招募挑戰,是找到具備特定 AI 經驗的資安工作者。92% 的受訪者表示將在未來 12 個月內投資 AI 相關的資安培訓或認證,63% 預期未來三年內,AI 監督與治理角色的需求將在資安團隊中大幅成長。
今年新加坡 DEF CON 駭客大會場邊,資安業界人士也點出了具體觀察。新加坡內政科技局網路安全部門負責人 Yeo Lip Khoon 向《CNA》指出,目前最大的挑戰不是找到資安人才,而是找到同時理解 AI 與資安治理能力的人:「找到優秀的 AI 人才仍然困難,而我們在資安人才招募上已累積了一段時間的經驗。真正的挑戰,是找到能在兩者交集處工作的人。」
薪資水漲船高,中階職位也開始跟著動
這波需求的壓力,正在驅動薪資明顯上揚。Heidrick & Struggles 的 Cowan 向《紐約時報》表示,資安高階主管的薪酬方案達到 700 萬至 800 萬美元已不罕見,「幾年前這個數字會讓人從椅子上跳起來,現在大家開始認識到,具備這種技能組合的人太少了,所以必須不惜代價去爭取。」
薪資壓力也正向中階職位蔓延。LinkedIn 資安長 Lea Kissner 告訴《紐約時報》,資安工程師正在要求更高的薪酬與更有挑戰性的工作,「AI 讓我們忙碌程度不斷升高,這對我認識的每一位資安人員都適用。」
Kissner 同時指出,LinkedIn 在招募時不只尋找技術能力,更尋找能在 AI 革命帶來的模糊與混亂中保持開放心態、並理解複雜企業基礎設施運作的工程師:「我不認為我們能在未來幾年內真正理解如何以可持續、長期的方式處理 AI 安全問題。」
懂得在程式碼中內建安全的人,將掌握新競爭優勢
AI 加速軟體生產帶來的另一個結構性問題,是傳統「事後把關」的資安模式正在瓦解。《Analytics Insight》分析,「安全作為最終守門人」的舊有模式,正在快速發布週期的重壓下崩解,因此能夠從初始架構階段就將安全設計進去的工程師,正變得不可或缺。
《Analytics Insight》援引 Palo Alto Networks 工程師的說法指出:「安全不應該是臨到審查前才想起來的附加物。當驗證流程被內建進程式碼裡,審計就只是一個形式,而系統本身就成為『secure by design』。」Fortinet 的調查顯示,91% 的受訪者已在使用或測試 AI 資安工具,84% 表示這些工具確實讓 IT 與資安團隊更有效率,但這些工具的效用,高度取決於組織是否具備能夠設計、部署與治理它們的工程能力。
由此,未來資安人才的關鍵技能,不只是修補漏洞,而是從一開始就將安全設計進系統架構,讓合規成為程式碼的原生屬性,而非事後補上的核查清單。這正是下一輪 AI 時代人才競爭的真實形貌:企業搶的不一定是最會寫程式的人,而是最懂如何驗證、治理與管理 AI 生產力的人。
【推薦閱讀】
◆ Google 首次攔截 AI 零日攻擊,駭客武器化漏洞的高速戰役正式開打
*本文開放合作夥伴轉載,資料來源:《The New York Times》、《CNA》、《Security Brief》、Analytics Insights,首圖來源:Freepik
