(文:陳宣宏博士)
必維集團驗證事業部(Bureau Veritas Certification,以下簡稱BV)即日起提供資安周報,定期彙整台灣與全球重要資安事件、最新法規動態、產業趨勢及資訊安全相關議題,協助企業即時掌握資安風險與管理重點,強化組織資訊安全韌性。
AI 安全:AI 成為駭客新武器,但也成為防禦利器
過去,當系統漏洞被發現後,企業通常有幾百天的時間可以慢慢修補;但現在,這段「黃金救援時間」已經被 AI 縮短到了幾個小時內 [1]。最近,資安專家記錄到全球首起名為「JadePuffer」的勒索攻擊事件,這是一起完全由 AI 代理程式(AI Agent)「全自動」執行的駭客行動。這個 AI 代理非常聰明,在攻擊過程中如果登入失敗,它甚至能在短短 31 秒內自主找出替代方案,最終成功加密資料並向受害者勒索 [2]。這意味著未來駭客不需要高深技術,只要給 AI 下指令就能發動破壞。
與此同時,中國近期推出了幾款新的 AI 模型(如 GLM 5.2 與屠龍鋒<Tulongfeng,又名 Dragon Saber>),在自動尋找系統漏洞的能力上,已經逼近甚至超越了許多歐美的頂尖模型。專家擔憂,這會讓駭客用極低的成本大量找出系統弱點,進一步拉大防守方與攻擊方之間的差距 [3]。另外,連全球工程師都在使用的 GitHub 平台,其內建的 AI 代理也被發現存在名為「GitLost」的漏洞。駭客只要在公開的討論區寫下特定的隱藏指令,就能騙過 AI,讓它乖乖把公司內部私密的機密資料洩漏出來 [4]。
不過,AI 也並非全是壞事。美國政府的網路安全與基礎設施安全局(CISA)目前正積極利用 Anthropic 公司開發的 AI 模型「Mythos」,主動去掃描政府部門的軟體程式碼,希望能趕在駭客動手前,先把系統漏洞找出來並修補 [5]。這說明了未來的網路安全戰場,將會是一場「AI 對決 AI」的高科技角力。
重大資安威脅與攻擊手法
在日常生活中,我們上網時常會遇到「證明你不是機器人」的驗證畫面。最近出現了一種名為「ClickFix」的狡猾詐騙手法,駭客會製作極度逼真的 Google 或 Cloudflare 驗證頁面。當你以為只要按照畫面指示,複製並貼上一段程式碼就能通過驗證時,其實你已經在自己的電腦上安裝了多種惡意軟體,讓駭客能輕易偷走你的帳號密碼 [6]。請大家務必記得:真正的網頁驗證,絕對不會要求你複製奇怪的指令到電腦的終端機去執行!
資料外洩的問題本週也相當嚴重。日本知名電信商 KDDI 爆發了大型資安事件,起因是第三方軟體的漏洞遭到駭客入侵。這起事件預估可能影響超過 1,200 萬人,包含上千萬個電子郵件地址與密碼流出 [7]。此外,在程式開發者的世界裡,駭客把歪腦筋動到了「軟體積木」(開源套件庫 npm 與 PyPI)上。他們上傳了 17 個偽裝成知名支付平台(如 Paysafe、Skrill)的假積木,一旦工程師不小心拿來拼裝到公司的產品裡,內部的最高權限金鑰就會被直接傳送給駭客 [8]。
系統與軟體漏洞警訊
本週也有幾個重大的系統漏洞需要各企業特別留意。首先是許多伺服器都會用到的 Linux 系統,被爆出一個隱藏了高達 16 年的漏洞「Januscape」。這個漏洞允許駭客從雲端環境裡的一台虛擬電腦,直接「越獄逃脫」並取得底層實體主機的最高控制權。這對各大雲端服務供應商來說,是非常致命的安全威脅 [9]。
另外,知名軟體大廠 Adobe 旗下用來架設網站的 ColdFusion 平台,也被發現了一個危險等級滿分的漏洞。更可怕的是,這個漏洞在被原廠公開後的短短兩個小時內,就已經被駭客拿來作為攻擊的武器。因此,有使用該系統的企業,必須在第一時間內安裝修補程式,否則隨時可能遭到入侵 [10]。
總結
從本週的事件可以看出,我們正面臨一個前所未有的「自動化攻擊」時代。駭客利用 AI 讓攻擊變得更快、更精準,也利用更逼真的手法(如假驗證頁面)來欺騙一般大眾。對我們所有人來說,保持高度警覺、不隨便執行來路不明的指令,並定期更新系統與密碼,才是保護自己與公司財產最好的方法。
面對日益複雜的資安威脅與快速發展的 AI 應用,企業更應建立系統化的管理機制。BV 提供 ISO/IEC 27001 資訊安全管理系統(ISMS)、ISO/IEC 27701隱私資訊管理系統(PIMS)與 ISO/IEC 42001 人工智慧管理系統(AIMS)等相關驗證、教育訓練服務,協助企業有效識別風險、強化治理架構,提升資訊安全與 AI 應用之可信度與韌性,因應數位轉型時代的挑戰。
參考
[1] https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=13065
[2] https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=13067
[3] https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=13062
[4] https://hackread.com/gitlost-github-ai-agent-leaking-repository-data/
[5] https://www.securityweek.com/cisa-reportedly-using-anthropics-mythos-to-scan-government-software-for-flaws/
[6] https://hackread.com/clickfix-scam-google-cloudflare-7-malware-families/
[7] https://www.bleepingcomputer.com/news/security/japanese-telecom-giant-kddi-says-data-breach-affects-12-million-people/
[8] https://www.bleepingcomputer.com/news/security/fake-paysafe-skrill-sdks-on-npm-and-pypi-steal-credentials/
[9] https://www.securityweek.com/linux-kernel-vulnerability-allows-vm-escape-on-intel-and-amd-systems/
[10] https://www.bleepingcomputer.com/news/security/max-severity-adobe-coldfusion-flaw-now-exploited-in-attacks/
作者簡歷
- 必維集團驗證事業部大中華區ICT產品經理