- 金管會發布七大對策,因應前沿AI模型帶來的資安風險
- 以Anthropic的Claude Mythos為例,漏洞利用時窗恐壓縮至小時等級
- 第七項「前瞻規劃防禦性AI」為最新要求
- 目標3至6個月內盤點內部環境並處理漏洞[2]
- 防禦性AI導入須保留人工覆核與回退機制
(綜合聯合報、自由時報報導)
金管會今日發布「金融業應對AI攻擊的挑戰與策略建議」報告,明確點出以Anthropic公司2026年4月發布的Claude Mythos Preview為代表的前沿AI模型,已使金融機構面臨的資安風險從技術防護擴展為治理、營運與韌性的綜合課題,並提出七大重點建議,其中第七項「前瞻規劃防禦性AI與自動化治理能力」為最新要求。
報告指出,Mythos等前沿模型具備強大的漏洞辨識、推演及規模化產出攻擊的能力,能解析深層程式碼,甚至具備規劃、推理與多步驟執行的代理型AI特徵,使漏洞被發現與武器化的速度大幅提升,駭客利用弱點的時間恐從過去的數日或數週壓縮至「小時」等級,並引發短時間內大量修補釋出的「修補壅塞」現象,擴大第三方供應鏈的曝險。
金管會資訊服務處處長林裕泰表示,策略建議是希望金融業收到弱點漏洞資訊時能快速反擊,在極短時間內精準應變,目標在3至6個月內盤點內部環境並處理漏洞。他舉例,駭客若在單點取得身分,第二個點之後就能被防守,異常探測行為能快速被發現[2]。
七大重點建議包括:一、落實零信任,降低單點失守衝擊;二、強化持續監控,提升研判與即時應處效能;三、深化資安左移,將資安要求前移至開發、測試與部署流程;四、強化第三方治理,提升供應鏈可視性與弱點追蹤能力;五、深化聯防協作,強化重大事件通報與情資共享;六、建立短期整備與韌性演練機制;七、前瞻規劃防禦性AI與自動化治理能力。
金管會強調,金融機構應在治理可控的前提下,運用AI提升軟體安全開發檢視效率、建立可持續的漏洞修補產能,並透過AI協助告警關聯分析與事件脈絡整理,以規模化監控能力應對高頻率攻擊。防禦性AI的導入須與既有資安控制、人工作業覆核及資料保護機制相互銜接,避免自動化失控或機密外洩風險。高階管理層應及早主導,將相關整備納入營運韌性與資安治理的優先事項。
(新增中央社、中時電子報、聯合報等3家媒體報導)
本次報導重點從金管會發布的七大對策轉向更具體的時間表與執行細節,並強調「用AI對抗AI」的戰略思維。
金管會資訊服務處處長林裕泰明確指出,金融業須在**2至3個月**內盤點重要服務、關鍵系統及對外連線狀況,較前次報告的「3至6個月」更為緊迫。他強調,業者須先分辨哪些漏洞可能造成重大威脅,優先處理;若有暫難立即修補項目,應同步採取隔離、權限收斂、流量限制等措施[2]。
林裕泰形容,「只有魔法可以打敗魔法」,金融業應引進AI工具強化資安防禦,應用於漏洞檢測與修補、資安監控及事件應變等領域[1]。但他也提醒,導入防禦性AI時仍須保留人工覆核、操作紀錄、停用及回復原狀機制,避免AI工具失控[1]。
金管會將前次報告的七大重點建議濃縮為三大策略:一、鞏固防禦基石(加速落實「金融資安韌性發展藍圖」);二、建立短期整備與韌性演練機制(2至3個月內盤點環境);三、前瞻規劃防禦性AI與自動化治理能力[2]。
本事件已沉寂,相關脈絡見「相關事件」