趨勢科技公布2025年資安趨勢預測報告,指出隨著AI技術廣泛應用,不僅讓網路攻擊更加精準,AI本身也成為駭客的新目標。趨勢科技台灣區總經理洪偉淦指出,生成式AI的進步將讓駭客的攻擊更加隱匿、高效,預期2025年駭客將全力開發AI應用範疇,使網路犯罪更具毀滅性。
洪偉淦認為,「AI基本上是一種工具,自然是工具就沒有好壞之分。好人用的它就是一個好的東西,壞人用的它就是壞的東西。但資安的問題不會變得更少,只會越來越嚴峻。現在談的不只是大家都知道資安很重要,更多談的是韌性,就是你也知道被害、被攻擊等等是不可避免,但是怎麼樣在被攻擊之後能夠快速恢復。」
趨勢科技資深技術顧問簡勝財指出,AI相關威脅將呈現多元化發展。首先是深偽詐騙技術的精進,今年香港某銀行就曾遭遇深偽視訊電話詐騙,造成2500萬損失。駭客還可能利用大型語言模型分析目標的公開貼文,模仿其寫作風格與性格進行精準社交工程攻擊。KYC認證迴避服務(Bypass-KYC-as-a-service)近年也相當受地下市場歡迎,而構成此服務的三項要點源於非蓄意暴露的生物辨識資訊、外流或遭人竊取的個人身分識別資訊,以及日益強大的AI功能,金融保險產業需對此謹慎防範。
另外,企業部署的AI代理系統也成為新的攻擊目標,駭客可能藉由系統漏洞,誘使AI執行未經授權的行為或協助資料外洩。
值得關注的是,勒索軟體攻擊出現明顯轉變。根據趨勢科技台灣的資安事故應變服務單位統計,
2024年目標式勒索資安事故近九成來自中小企業。簡勝財解釋,這項轉變主要源於「網路犯罪服務」(Cybercrime-as-a-Service)的興起,讓較小型駭客群體也能輕易發動攻擊。勒索軟體集團也減少仰賴釣魚郵件,轉而利用被竊取的帳戶資料直接入侵系統,並結合惡意廣告進行資訊竊取。
國家級駭客攻擊也將持續升溫。簡勝財表示,隨著地緣政治情勢變化,如Lazarus、Turla和Pawn Storm等國家級駭客集團預計在2025年將更加活躍,主要針對外交資訊、軍事技術及其供應鏈發動攻擊。他特別提到,
生成式AI的發展將進一步強化APT攻擊,駭客可能運用AI產生更具說服力的釣魚內容和假訊息,企業組織必須預先建立強健的防禦機制,並採取積極的風險管理策略來保護關鍵基礎設施。
另一項新興威脅來自聯網車輛安全。隨著電動車充電樁普及,這些設施可能成為駭客的新攻擊管道。由於車輛平台逐漸標準化,不僅讓大規模攻擊更容易發生,駭客的學習門檻也將降低。透過受侵害的充電樁進行勒索攻擊,或利用車載攝影機進行針對性攻擊,都是潛在風險。
面對日趨複雜的攻擊態勢,
簡勝財建議企業應著重三大面向:集中管理資產、整體風險評估,以及加強AI整合環境的安全防護,特別是在輸入檢查、回應檢查及AI行動監控上。同時,企業也可善用AI技術強化資安防護,將其應用於威脅分析、資產管理、攻擊預測及矯正指引,以即時應對新興威脅。