《2025年資安長思維探索:AI 加速時代的韌性》報告顯示,硬體、API 和網路漏洞急遽增加,使企業組織面臨新興風險。資安業者 Bugcrowd 於 9 月 23 日發布的年度報告彙整了全球漏洞回報與揭露計畫中數十萬筆資安弱點的資料。
人工智慧擴大攻擊面
研究發現,AI 輔助軟體開發加速創新的同時,也擴大了資安攻擊面。透過
快速發布週期推出的應用程式,經常在存取控制、資料保護和硬體安全方面存在漏洞。攻擊者正利用這些被忽視的入侵點,特別是應用程式介面(API)。
Bugcrowd 資安長 Nick McKenzie 表示,我們正處於一場高風險的創新競賽。每一次 AI 的進步都使資安環境變得更加複雜。攻擊者雖然利用這種複雜性,但仍然鎖定硬體和 API 等基礎層面進行攻擊。沒有一個資安長能單獨贏得這場競賽。
幾乎無限的攻擊面和開放性漏洞呈現了一個難以克服的挑戰。專家認為,防禦者正面臨一個新時代,「每個人都可能成為零號病患」,而這些新型態的威脅正在取代過去可預測的傳統攻擊手法。
基礎安全弱點持續攀升
Bugcrowd 2025年分析報告揭露了以下值得關注的趨勢:
- 物聯網普及導致硬體漏洞增加 88%
- 81% 的資安研究人員表示過去一年中發現新的硬體漏洞
- 關鍵漏洞獎金支出上升 32%
- 存取控制失效漏洞增加 36%,成為最主要的漏洞類型
- 敏感資料外洩漏洞增加 42%
- 應用程式介面(API)漏洞增加 10%
- 網路層級漏洞數量成長一倍
Noma Security 資安長 Diana Kelley 指出,存取控制缺陷和敏感資料外洩等基本安全問題仍是最主要威脅。具有自主決策能力的主動式人工智慧系統若缺乏完善監控機制與權限控管,將使這些問題更加嚴重。
資安長角色的轉變
報告也反映資安長角色的轉變,必須在維持技術專業深度與拓展業務協同能力之間取得平衡。
資安長的角色必須融入更廣泛的企業對話中。然而,公開場合的職責不應干擾資安長的首要任務—以最積極主動的方式保護企業免受資安威脅。法規成為推動資安長「
透過靈活且協作的資安實踐,更加關注業務賦能」的主要動力。
AI 驅動的身分冒用風險持續攀升,已遠超傳統釣魚攻擊的範疇,更演變為透過深度研究和 AI 技術支持的精準冒用。分層式安全控制機制需超越簡單歸咎「人為疏失」的思維,轉向能即時偵測並阻擋這些複雜攻擊的系統。Bugcrowd 報告結論強調,集體情報分析與持續性滲透測試將成為對抗日益嚴峻數位威脅的關鍵要素。
延伸閱讀:駭客轉攻基礎設施 硬體漏洞暴增88%成資安新戰場
本文轉載自 InfosecurityMagazine。