對抗提示詞注入與資源耗盡攻擊 資策會 AI 弱掃工具模擬駭客手法揪漏洞

當企業搶著導入 AI 客服和智慧助理，這些看似便利的 AI 系統正面臨前所未有的資安威脅。駭客透過提示詞注入（Prompt Injection）誘騙 AI 洩露企業機密，或要求 AI 客服撰寫程式導致運算資源被大量消耗，都是 AI 應用獨有的安全風險。為回應產業需求，財團法人資訊工業策進會資安科技研究所（資策會資安所）自主研發多款 AI 安全解決方案，協助企業辨識 AI 風險、補強弱點並符合法規要求。

符合 OWASP LLM 十大風險框架的弱掃服務

資策會資安所提供符合 OWASP LLM 十大風險的安全弱掃服務。當 AI 開發後進入測試階段時，「AI 安全弱掃工具」能模擬駭客的攻擊演練，讓企業了解可能的安全風險。

這套工具模擬駭客的攻擊手法，測試 AI 能否抵擋如提示詞注入、無限制消耗等 AI 獨特威脅。完成測試後，企業會拿到一份詳細的「AI 安全弱掃報告」，除了可作為漏洞修補依據，亦可提供給合作夥伴、主管機關或稽核單位，作為法遵佐證資料。

24 小時監控的智慧防護機制

當企業 AI 工具上線後，資策會「AI 安全防護工具」系統提供 24 小時監控的智慧保全服務，能自動攔截可疑的輸入內容，如試圖詢問犯罪手法、信用卡號等敏感資料。

所有對話都會留下紀錄，管理者可以透過儀表板隨時查看違規次數、風險等級和異常比例。考量到金融、醫療等產業對資料保護的嚴格要求，這套監管工具也提供離線版本，讓企業不用擔心資料外洩問題。

從開發階段就植入安全基因

資策會資安所副主任邱育賢表示，隨著產業導入 AI 應用日益增加，加上主管機關對 AI 安全的監管日益嚴格，AI 安全不僅是企業的風險管理議題，更牽動臺灣產業的整體升級。在產業積極導入 AI 強化營運效率與創新服務的同時，如何確保資料與服務安全，已成為企業導入 AI 時的重要課題。

多數企業開發 AI 時，不確定要注意哪些安全事項。資策會資安所依循國內外標準與規範，提供給企業一套「AI 安全指引」，包含安全開發指引、安全使用規範、安全檢核表等，協助企業完成內稽內控與法遵佐證。如同蓋房子要按照建築法規施工，企業也能按圖索驥，確保 AI 從設計階段就具備安全基因。

推動 AI 安全從選配變標配

資策會資安所已成功協助多家資服業者與其企業客戶，從安全指引、弱點掃描與監管防護，加速掌握 AI 安全技術並強化服務韌性，補足企業在 AI 導入過程之薄弱環節。

資策會將持續跟進產業需求，透過技術創新與產業合作，促進 AI 安全從「選配」變成「標配」，協助更多產業建立 AI 安全基石，打造可信賴的 AI 應用環境，協助企業逐步實現 AI 安全化目標。