AI 推論(AI inference)流量正在企業網路中快速蔓延。根據 F5 最新發布的《2026 應用策略現況報告(State of Application Strategy,SOAS)》,全球已有 78% 的企業自行執行 AI 推論,88% 曾遭遇 AI 相關安全挑戰,98% 正積極為代理式 AI(agentic AI)部署做準備。這波轉變帶來的問題是:過往以規則比對為核心的資安工具,是否還能有效應對 AI 時代的新型威脅?
AI 流量的本質與傳統 WAF 的盲點
AI 應用與過往的 Web 應用在流量型態上存在根本差異。傳統應用以短暫的 HTTP 請求與回應為主,而 AI 對話型介面所產生的是長連接(long connection)流量,每個工作階段持續時間更長、互動輪次更多。這類流量對中介設備(middle box)的挑戰尤為明顯,因為設備必須維持跨多輪對話的狀態感知,才能有效識別異常行為。
此外,威脅形勢本身也在轉變。攻擊者越來越多地借助 AI 與 Agent 發動攻擊,使攻擊手法的變化速度與複雜度同步提升,直接針對模型本身發動提示詞注入(prompt injection)、誘使 AI 代理過度授權,或竊取敏感資料等新型攻擊手法。這些攻擊並不符合任何固定的惡意特徵碼,傳統 WAF 以 CVE 清單或 pattern matching 為基礎的防護邏輯,在此情境下幾乎失效。
F5 的回應:以模型防護模型
F5 針對此挑戰推出 AI Guardrail,定位為「AI 情境的 WAF」。其核心邏輯是以 F5 自行訓練的語言模型,識別 AI API 流量中的惡意請求。相較於傳統 WAF 依賴預先定義的規則,AI Guardrail 的判斷能力源自模型本身的語義理解,能夠偵測語意層面的攻擊意圖,而非僅比對表面特徵。F5 將此防護範疇聚焦於 AI 推論過程中、應用與模型之間的流量控制。
伴隨 AI Guardrail 的是紅隊測試功能。這套機制本身即採用 Agent 架構運作,可模擬真實攻擊者的行為模式,支援單步攻擊測試與多步探測兩種模式,並持續更新攻擊簽章資料庫。根據資安測試機構 SecureIQLab 的獨立測試,F5 AI Guardrails 在面對 2 萬次攻擊時達到 98.36% 的整體安全分數,對提示詞注入攻擊的防護率為 99.3%,防範 AI 代理過度授權或失控達 98.7%,敏感資料外洩防護率則為 99.0%。
AI Remediate:從測試洞察到自動修復的閉環
測試能力本身並非終點。F5 將紅隊、修復與護欄三個元件整合為 AI Remediate 機制,形成完整的閉環防護迴路:AI 紅隊以複雜攻擊方式對 AI 系統進行滲透測試,測試結果交由 AI 修復(AI Remediate)元件自動建立並部署自訂護欄,修復重大漏洞後回饋至 AI 護欄持續強化防禦。F5 以 APEX 作為衡量此閉環有效性的指標。
Bot 防護機制也同步針對 AI 時代的新型態威脅進行強化。隨著 AI Browser 與 AI Agent 開始大量自動化存取企業服務,傳統以人類使用者行為為基準的機器人識別邏輯已難以應對。F5 在 Bot Defense 中納入新型 AI Bot 特徵,協助企業釐清有多少流量來自自動化 AI 程序,建立管控基礎。
新興協定帶來的新攻擊面
AI 基礎架構的演進,同時催生出兩個互補但分層的新興協定挑戰。在工具與情境層,模型情境協定(Model Context Protocol,MCP)已成為 AI Agent 存取外部工具與資料的主流標準,底層採用 JSON-RPC 傳輸,負責將 Agent 連接至 Git/CI、ITSM、資料庫等外部服務。在協作層,代理程式間通訊協定(Agent-to-Agent,A2A)則負責 Agent 與 Agent 之間的橫向溝通,當策劃者 Agent 需要將任務分派給專家 Agent 時,即透過此協定跨網路協作。兩者並非替代關係,而是現代 AI 工作流程的不同層次。
這兩個協定帶來的安全挑戰同樣分層:MCP 的高可用負載均衡與 WAF 防護需針對 JSON-RPC 流量重新設計;A2A 的跨網路 Agent 協作則帶來全新的身份驗證與存取控制需求。F5 目前已支援 MCP 流量的高可用負載均衡與 WAF 安全防護,並在最新版本中加入 A2A 的 Beta 支援,持續補強協議層的交付與安全功能。
安全邊界正在移動
SOAS 報告的數據指向一個清晰的結構性轉變:AI 安全的控制核心,正從傳統的網路邊界與應用層,移動至提示、Token 與 API 層。企業若沿用舊有的安全模型因應 AI 時代的威脅,將面臨系統性的防護缺口。F5 的 AI Guardrail、紅隊測試、AI Remediate 閉環機制與新協定支援,代表F5 嘗試在這個新邊界上重新建立完整的防護邏輯。