過去三年間,攻擊者從「取得初始存取權」到「交接給下一波攻擊者」的時間,從原本的 8 小時大幅縮短到 22 秒。這是 Google 旗下資安情報單位 Mandiant 在《M-Trends2026》報告中最新的研究,22 秒甚至比資安分析師「打開告警頁面 → 確認 IP → 回報主管」所需的時間還短。
當駭客將 AI 用做可短時間內大規模的攻擊武器,譬如使用 LLM 產生高度擬真的釣魚內容、自動化偵察、甚至把 LLM 直接嵌入惡意程式;而與此同時,企業們為了加速導入 AI 代理人(AI Agent),一股腦地將敏感資料、核心業務流程、對外交易權限,交給這些自主運作的代理人處理。
企業一邊用 AI「加速業務」、攻擊者一邊用 AI「加速攻擊」,而夾在中間尚未「加速」的,便是傳統以人為核心的資安維運流程。
Google 在今年 Google Cloud Next ’26 上指出「要對抗駭客型 AI,中間層級的資安維運流程也必須要有 AI 協助。」並聚焦在「代理式防禦(Agentic Defense)」傳統資安維運(SOC)中,第一線(Tier 1)的自動化過濾已經相對成熟,但中高階(Tier 2/3)的威脅獵捕、事件根因分析和複雜應變流程,過去高度依賴資深人力,然而中間層級的分析師若沒有 AI 可能將無法跟上駭客的速度。
一個指令就能劫持 AI 代理人,AI 最脆弱的攻擊入口在這裡
企業每多部署一個 AI 代理人,就可能向駭客多開了一扇門,傳統的資安防護保護網路、設備、帳號、資料庫這幾個固定關卡,但 AI 代理人會自主規劃、呼叫工具、存取資料、代替人做決定,它帶來的風險入口遠比這些複雜,以下幾種攻擊類型,在 Google 旗下資安團隊 GTIG(Google Threat Intelligence Group) 2026 年的報告中都已有實際案例:
我們都知道,AI 代理人的行為由提示詞(prompt)驅動,這也是它最脆弱的地方,一旦攻擊者有能力將惡意指令塞進代理人讀取的內容,例如在文件、網頁或工具裡,就可能命令代理人去做它原本不該做的事,這就是所謂的提示詞注入攻擊(prompt injection)。
而另一個更難被發現的威脅是「模型萃取攻擊」(Model Extraction / Distillation Attack),例如 GTIG 在 2025 年觀察到,攻擊者在單一事件中以超過 10 萬筆指令嘗試複製 Gemini 的推理能力到其他語言版本,簡單而言,只要用 API 的費用(可能幾千美金),就「偷學」到花幾億美金訓練出來的能力,對於自建或客製化模型的企業而言,投入大量資源訓練出來的專有邏輯,可能會被競爭對手用 API 呼叫的方式「蒸餾」走。
不用自己訓練 AI,也能打造攻擊武器?
目前 AI 代理人幾乎都透過 MCP(Model Context Protocol,可理解為讓代理人對外連接各種工具的統一標準接口)串接外部工具,當代理人連接的工具越多,駭客可以下手的入口就越多。
GTIG 報告中提到的工具「Xanthorox」就是一個經典案例,乍看是一套專門研究資安漏洞的 AI 工具,但實際上只是把幾個現成的商業 AI 服務串在一起,拼裝出來的武器,但這件事情值得大家關注的兩個地方在於:
一、不需要懂 AI 技術,也能做出 AI 攻擊工具
過去要打造惡意 AI 門檻極高,但現在只要知道怎麼把現成工具接在一起,任何人都能用不到幾千美金的成本,組出一套自動化的攻擊代理人。
二、同一套工具,好人壞人都能用
MCP 這套規格本身沒有好壞,它不會判斷使用者的意圖,但企業在使用 AI 代理人時,也必須意識到同樣的工具,隨時可能被惡意利用。
當員工偷偷部署的代理人,小心比影子 IT 更難控管!
過去企業管理「誰能存取什麼資源」,靠的是一套叫做 IAM 的權限控管系統,簡單說,就是替每一位員工和每一套系統發「通行證」,明確規定誰能進哪扇門、能做什麼事。但現在的問題是,當企業同時運作成千上萬個 AI 代理人,每個代理人都在自主做決定、互相溝通、甚至代替員工去其他系統下指令,一個最基本的問題就出現了,這個代理人是誰?它有沒有權限做這件事?它過去做了什麼?
這些問題目前大多數企業都還沒有答案。
Google 在報告中特別點名一個新興風險,「影子 AI」(shadow AI),意思是,員工在公司不知情的情況下,自己私底下用 AI 代理人來幫忙處理工作,但這些代理人照樣可以存取公司資料、執行各種任務,卻完全不在 IT 部門的監控範圍內。這個現象和十年前「影子 IT」的問題很像,當時員工會私下使用 Dropbox、Google Drive 等未經公司審核的雲端服務來存放工作檔案,AI 代理人能做的事遠比存檔複雜,一旦失控,影響範圍也大得多。
沒有惡意程式碼的惡意程式,HONESTCUE 如何用 AI 即時生成攻擊?
傳統防毒軟體的運作邏輯很簡單,掃描檔案、比對已知病毒特徵、找到就攔截,這套方法幾十年來都有效,因為惡意程式的壞行為都寫在程式碼裡,只要抓到一個樣本,全球防毒軟體都能認得。
但 GTIG 在 2025 年 9 月發現的惡意程式「HONESTCUE」,卻破壞了這套邏輯。
HONESTCUE 本身非常「乾淨」,防毒軟體打開來看,裡面根本沒有任何惡意程式碼。它唯一做的事,就是去問 Gemini 一個問題,舉例來說,它會問 Gemini:「請幫我寫一段 C# 程式,從某個網址下載檔案並執行它。」Gemini 回傳的只是一段純文字的程式碼,接著 HONESTCUE 利用 .NET 內建的編譯功能,在記憶體裡直接把這段文字編譯成可執行程式,跑完之後就消失,整個過程完全沒有任何惡意檔案被寫到硬碟上。
這個惡意程式不再需要事先寫好壞程式碼,而是臨時叫 AI 幫它生成,拆開來看每一個動作都是無害的,Gemini 只是回答了一個普通的程式設計問題、網路流量只是一次正常的 API 呼叫、執行程式只是電腦的內建功能,三件無害的事加在一起,就構成了一次攻擊。
AI 時代的資安防禦不能只靠認出壞東西,而是必須學會看懂整個脈絡,如今 AI 不只是代理人的工具,也已經成為攻擊者手中的武器。
(本文訊息由 CloudMile 萬里雲提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。圖片來源:AI 生成。)
