企業不能把防線完全交給供應商。當攻擊能力開始隨算力提升,企業更需要的是持續掌握自己的架構、供應鏈與治理能力。
文/游政卿(合勤集團資安長)
近年來,企業面對的資安壓力,不只是漏洞變多,而是攻防的速度和方式都在改變。
近期受到關注的 Claude Mythos Preview,正好反映了這個變化。它是 Anthropic 公開的研究預覽模型,主要用於漏洞挖掘、弱點驗證,以及提升關鍵軟體的安全性,並未全面開放,而是先提供給部分大型科技公司、資安業者和關鍵軟體維護單位使用。值得注意的,不是市場上又多了一個新模型,而是這件事讓大家更清楚看見,AI 已經開始實際改變資安攻防的條件。
過去,深層漏洞挖掘、多步驟攻擊鏈串接這類工作,往往需要相當高的技術能力,也需要時間和經驗累積。所以多數企業對較高門檻攻擊的理解,常常還停留在少數人做得到、但成本很高的階段。現在這個前提正在鬆動。當模型能力、工具串接和推理資源慢慢結合,過去仰賴大量人工操作與反覆驗證的事情,未來很可能在更短時間內完成。
對企業來說,真正需要留意的,不是哪一個模型特別強,而是攻擊能力的門檻已經變了。它不再只建立在少數高手的經驗與時間上,而是開始建立在模型能力、工具整合和算力資源上。這對防禦端的影響很直接。當攻擊者能更快地探索、測試、修正與放大,企業承受的壓力就不只是攻擊變多,而是整體節奏明顯加快。過去那種高度依賴人工判讀、人工比對和事後補救的做法,接下來只會越來越吃力。
[ 推薦閱讀:當工作流程成了攻擊入口:CIO 如何在協作效率與資安風險之間重新建立信任 ]
我認為,這才是 CIO、CISO 和技術主管現在真正要面對的問題。今天企業面對的,已經不是要不要用 AI,而是當攻擊者開始用接近機器的速度重組攻擊流程時,企業自己的防禦能力是不是還停留在人工節奏。
更值得注意的是 ─ 這不只是技術問題,也是治理問題。當最先進的漏洞研究能力、風險判斷能力和修補優先順序,慢慢集中到少數具備模型、算力與平台優勢的大型業者手中,企業面對的就不只是產品選型,而是更根本的問題:我們是不是還掌握自己的風險判斷能力?
這並不是說大型供應商沒有價值。未來企業一定會更加依賴平台、雲端服務、資安產品和基礎軟體供應商。問題不在合作本身,而在於合作會不會慢慢變成過度依賴。當關鍵能力、關鍵情資和修補節奏都掌握在外部,企業自己還剩下多少可視性、驗證能力和主導權,這才是真正需要思考的事。
這樣的變化,對不同類型企業的第一波衝擊,其實並不一樣。
對產品型企業來說,最先感受到壓力的,通常不會是 SOC,而是弱點管理與修補節奏。當漏洞被更快找出來,企業有沒有能力快速盤點影響範圍、判斷優先順序並推動修補,會先反映在產品與研發端。這一層若跟不上,後續監測與應變壓力只會更大。
對高度依賴開源元件的企業來說,SBOM 也不會再只是合規文件,而會變成營運必備。因為當底層元件的弱點浮現速度越來越快,企業能不能即時掌握自己受了哪些影響,靠的不是臨時追查,而是平常有沒有把元件與版本盤清楚。換句話說,供應鏈透明度不再只是為了稽核,而是能不能快速反應的基礎。
至於 IT/OT 並存的場景,真正的風險也不只是遭到入侵,而是事件發生後,必要功能能不能維持、降級模式能不能撐住、復原流程能不能在可控範圍內完成。對這類環境來說,韌性的重點從來不只是防堵攻擊,而是「確保必要功能不中斷,避免事件直接擴大成營運風險」。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
所以,面對 AI 帶來的攻防升級,企業第一步不是恐慌,也不是跟著市場追逐每一個新名詞,而是把治理基本面補起來。下面四點是你應踏出的腳步:
第一,安全要求要往前移到設計與開發階段。
對有自有產品、平台或系統開發能力的企業來說,安全不能只放在上線前檢查,更不能等出事後再補救。越晚處理,成本通常越高,影響範圍也越難控制。面對攻擊效率持續提高的趨勢,把安全納入設計、開發、驗證、修補與維護的整個流程,已經是基本要求。
第二,要重新看待開源軟體與第三方元件的供應鏈風險。
當底層元件被更快發現弱點、更多漏洞同時浮現時,企業能不能第一時間知道自己受到哪些影響,關鍵就在元件盤點、版本管理、SBOM 維護、風險分級與修補優先順序治理。這些工作看起來不如新工具吸睛,但真正遇到事件時,往往就是決定反應速度的關鍵。
第三,偵測與應變能力要逐步往自動化與協同化調整。
未來的挑戰,不一定是單一事件特別複雜,而是事件發生的頻率與速度可能遠高於過去。若企業還是主要依賴人工判讀告警、人工比對日誌、人工發動處置,再強的團隊也很難長期承受。企業需要的,不是把所有事情都交給自動化,而是把高頻、重複、需要即時反應的工作交給系統,讓人力回到真正需要判斷與決策的地方。
第四,治理上要保留必要的替代空間。
未來企業不可能完全不依賴大型供應商,但依賴不應等於綁定。對關鍵資料、核心流程、事件應變與技術架構來說,企業至少要保有交叉驗證能力、替代方案,以及必要的調整空間。否則一旦外部條件改變,失去的往往不只是議價能力,而是安全主導權。
真正要守住的,其實不是某一項功能,而是對風險的判斷能力。對 CIO、CISO 與技術決策者來說,現在真正重要的,不是急著對每一項技術突破表態,而是冷靜盤點自己的基本功是否扎實:資產是否盤清楚、供應鏈是否看得見、架構是否合理、流程是否能持續運作、應變是否足夠快、關鍵能力是否還掌握在自己手上。
說到底,AI 帶來的改變,不會只停留在工具層面。它會把過去企業可以慢慢處理的問題,變成必須更快面對的治理問題。誰能先把基礎打穩,誰才有機會在下一波攻防變化中守住主導權。
在 AI 時代,真正穩固的防線,不會來自任何一家供應商的承諾,而是來自企業自己是否具備清楚的架構、透明的供應鏈,以及持續修正與快速應變的能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
