面對新興人工智慧(AI)模型展現出前所未有的漏洞挖掘與攻擊能力,數位發展部資通安全署(以下簡稱資安署)正式提出三項應對措施,涵蓋引進防禦工具與經驗、召集產官學決策層研商國家級因應策略,以及強化中小微企業資安防護支持。資安署同步呼籲企業與政府機關從策略、管理、技術三個層面重新檢視資安防護,穩紮「資安基本功」,提升臺灣整體數位安全韌性。
新興AI模型成為攻擊加速器
資安署指出,國際資安界近期高度關注最新AI模型於資安攻防領域的實際能力。美國Anthropic公司最新發布的Claude Mythos Preview模型,已在所有主流作業系統與網頁瀏覽器中找出數千個高嚴重性漏洞,漏洞利用成功率高達72%。在紅隊能力評估實驗中,Claude Mythos更發現一個潛藏長達27年的作業系統漏洞(OpenBSD)。
OpenAI亦於近期發布GPT-5.5,可大幅提升既有攻擊手法的效率與規模,協助攻擊者將漏洞轉化為可實際運用的攻擊工具。兩大模型的相繼問世,標誌著AI輔助攻擊進入新的能力門檻。
資安署三項具體應對措施
面對上述態勢,資安署提出三項明確作為:
第一,及早掌握新興AI模型的攻防動向,引進相關防禦工具與經驗。 資安署將持續追蹤國際AI模型於資安領域的能力演進,並主動引入相應防禦技術,縮短臺灣與國際資安防禦水準之間的落差。
第二,召集產官學相關利害關係人之決策層共同研商。 資安署將邀集政府、企業及學術界各方決策者,共同研討公私部門防護技術,彙集各界意見,確保政策可行性,進而凝聚國家級新興AI因應策略。
第三,強化對中小微企業資安防護支持。 資安署將持續推動中小微企業加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),確保規模較小的企業與組織不因資源有限而錯失關鍵資安警訊。
漏洞利用時間急遽壓縮,典範轉移已成必要
資安署觀察,新興AI工具已將漏洞被利用的時間大幅縮短,超越人力反應速度。根據「零日漏洞時鐘(Zero Day Clock)」追蹤數據,漏洞從揭露到被實際利用的時間中位數,已從2018年的771天急遽壓縮至2024年的4小時。至2026年現今,漏洞被利用的時間甚至早於公開揭露。
資安署強調,此一現象代表資安實務正面臨從「預防受駭」轉向「盡快復原、減少傷害」的典範轉移(Paradigm Shift)。
資安署同時提出三項關鍵觀察,供企業與政府機關重新評估自身資安策略:其一,攻擊成本大幅降低、攻擊規模顯著擴大,上市櫃公司、中小型企業與地方政府機關均可能成為目標;其二,過去因利用難度高而排在修補清單末端的冷門漏洞,可能在AI輔助下重新成為攻擊入口;其三,企業應將「韌性」列為資安投入的優先目標,從預防轉向被攻擊後的恢復時間與損失控制能力。
三層次資安基本功,企業應立即盤點
資安署建議,企業與政府機關從策略、管理、技術三個層次同步推動資安防護。
策略面,應將漏洞管理提升為營運級風險,由經營層或機關首長親自督導,並將資安資源從單一預防投入,調整為涵蓋預防、偵測、應變、復原的整體韌性投資。
管理面,應隨時確保業務資料具備可離線、可還原的備份,強化營運持續計畫(BCP)演練頻率,並落實最低權限(Least Privilege)原則。
技術面,應優先修補對外系統的公共漏洞與暴露(CVE),全面啟用多因子認證(MFA),採用建立於FIDO2標準的Passkey憑證技術,並停用非必要的對外服務與測試介面,以縱深防禦縮短偵測與反應時間。
資安署強調,AI改變的是攻擊的速度與成本,但並未改變資安的基本原則。網路縱深防禦(Defense in Depth)、漏洞管理、嚴謹的身分識別等核心做法目前依然有效。資安署呼籲企業與政府機關立即採取行動,重新評估自身的資安風險、重新檢視漏洞修補優先順序,並表示將持續關注新興AI模型的能力演進與相關國際情勢,適時提供後續政策指引。