資安大海嘯時代來臨

毫無意外，生成式AI經過近幾年的蓬勃發展，與AI代理人相關的各種應用已成為IT領域的熱門話題，2025年底掀起至今的OpenClaw旋風，為代理型AI開啟新的可能性。AI模型的能力也突飛猛進，尤其是今年4月初AI模型開發商Anthropic公布Claude Mythos Preview之後，更是震撼全世界所有關心資安的人士，讚嘆AI的強大之餘，也害怕當AI海嘯即將來襲、潮水退去時，大家都知道誰在裸泳。

該公司宣稱找出數千個高風險與重大資安漏洞，並向多個開源軟體維護人員與閉源廠商揭露，展開合作，也聯繫大量資安專業承包商，協助揭露這些漏洞的流程，在對外發送相關情資前，將由這些業者手動驗證每一份問題報告，確保維護人員能夠收到高品質的漏洞報告。

在Claude Mythos Preview發現的漏洞中，Anthropic列出三個是僅依賴初始提示就找到的零時差漏洞：首先是以整合多項安全功能著稱的作業系統OpenBSD，被發現1個存在27年的漏洞；其次是大量用於各種軟體的影片編解碼框架FFmpeg，被發現1個存在16年的漏洞。

第三個被Claude Mythos Preview找出的漏洞，是具有記憶體安全防護能力的虛擬機器監控器（memory-safe VMM），目前尚未被修補，攻擊者在虛擬機器內部可對主機系統記憶體執行越界寫入。

一週後，英國AI安全研究所公布評測Claude Mythos Preview的結果，在資安搶旗賽（CTF）專家級任務中，成功率達73％，也成為第一個從頭至尾完整解出32個步驟企業攻擊鏈的AI模型，平均完成22個步驟。該機構警示，該項測試不僅展現Mythos Preview能駭入資安脆弱的系統，未來可能將開發出更多具備這類能力的AI模型。

對此，多個國家政府的主管機關正在密切關注相關風險。許多資安廠商與業界專家也表達意見。XDR與MDR廠商Cynet直言，AI資安的應用不只是漏洞修補的問題，而是資安態勢（posture）的問題，廠商的資安合作若要成功，並非只是更快應變，而是持續理解暴露的風險、阻止惡意與異常行為，並與客戶建立封閉式循環處理流程。

承接美國政府與國防專案的科技顧問公司Booz Allen Hamilton的AI民政部門總裁Bassel Haidar表示，這並非模型的故事，而是架構的故事，真正的瓶頸轉移到多數組織未準備好的領域：駕馭機制（Harness）的設計、治理的層級、評估的大規模擴展，以及環繞AI模型周遭的各種系統，因此，領先者並不追逐AI，而是控制AI。

面對更大的AI資安浪潮即將來襲，任何企業與組織再也無法漠視暴露的資安風險，因為找出這些可乘之機將會越來越容易！

---

<p><a href=”https://www.tenlong.com.tw/products/9789860654356?list_name=srh” rel=”nofollow noopener”><span><span><strong>本文出自《CYBERSEC 2026 臺灣資安年鑑》</strong></span></span></a></p>

Tags: <a href=”/tags/%E7%94%9F%E6%88%90%E5%BC%8Fai” rel=”nofollow noopener”>生成式AI</a><a href=”/tags/openclaw” rel=”nofollow noopener”>OpenClaw</a><a href=”/tags/claude-mythos” rel=”nofollow noopener”>Claude Mythos</a><a href=”/tags/ai%E8%B3%87%E5%AE%89” rel=”nofollow noopener”>AI資安</a>