- 資安署示警新興AI模型具強大漏洞挖掘與攻擊能力
- Claude Mythos Preview漏洞利用成功率高達72%
- 零日漏洞從揭露到被利用時間中位數已縮至4小時
- 資安署提出掌握防禦工具、產官學研商、強化中小企業防護三項作為
- 建議企業從策略、管理、技術三面向強化防護
- 資安典範轉移:從「預防受駭」轉向「盡快復原」
- AI改變攻擊速度與成本,但未改變資安基本原則
(綜合中央社、聯合報等2家媒體報導)
數位發展部資安署今日發布新聞稿,指出新興AI模型已展現強大的資安漏洞挖掘與攻擊能力,將以三項作為攜手產官學因應,並建議企業與政府機關從策略、管理、技術三大面向同步強化防護。
資安署點名美國Anthropic公司最新模型Claude Mythos Preview,已在所有主流作業系統與網頁瀏覽器中找出數千個高嚴重性漏洞,漏洞利用成功率高達72%。Mythos在紅隊能力評估實驗中,甚至發現潛藏長達27年的OpenBSD作業系統漏洞[1]。OpenAI日前發布的GPT-5.5,則可大幅提升既有攻擊手法的效率與規模,協助將漏洞轉化為可實際運用的攻擊工具。
面對新興AI模型快速演進,資安署提出三項應對作為:掌握新興AI模型相關防禦工具與經驗、邀集產官學決策層研商國家級因應策略,以及強化對中小微企業資安防護支持,持續推動其加入TWCERT/CC。
資安署指出,資安實務正面臨從「預防受駭」轉向「盡快復原、減少傷害」的典範轉移。根據「零日漏洞時鐘」追蹤,漏洞從揭露到被實際利用的時間中位數,已從2018年的771天急遽縮短至2024年的4小時,到2026年,漏洞被利用時間甚至比揭露時間還要提前[1]。
資安署觀察,AI讓攻擊成本大幅降低、規模變大,過去冷門或閒置系統的漏洞可能被AI重新利用來攻擊[1]。企業資安投入應從預防遭受攻擊,轉向關注被攻擊後的恢復時間與損失控制能力,將韌性列為優先目標。
在具體建議方面,策略面需將漏洞管理提升為營運級風險,調整為涵蓋預防、偵測、應變及復原的整體韌性投資。管理面應定期演練復原能力,確保業務資料具備可離線、可還原的備份機制,並加強營運持續計畫演練,落實最低權限原則。技術面應透過縱深防禦機制縮短威脅偵測與事件反應時間,優先修補對外系統的公共漏洞與暴露,全面啟用多因子驗證、採用FIDO2標準的Passkey憑證技術,並停用非必要的對外服務及測試介面。
資安署強調,AI改變的是攻擊速度與成本,但未改變資安基本原則,網路縱深防禦、漏洞管理及嚴謹的身分識別等核心做法目前仍有效。
本事件已沉寂,相關脈絡見「相關事件」