過去兩年資安業界一直在辯論:「AI 自主發動攻擊」是「未來威脅」還是「現實威脅」。4 月份這個辯論結束了。
4 月 7 日,Anthropic 公布 Claude Mythos 在 ASL-4 評估中自主找出 FortiGate SSL-VPN 的零日漏洞(CVE 編號待定)——並通報 Fortinet。
4 月 15 日,Palo Alto Networks Unit 42 發現:該漏洞已在野被利用——55 個國家、600 台 FortiGate 設備被攻陷。攻擊方不是人類。日誌分析顯示這是完全自主的 AI 攻擊鏈:從掃描、識別、利用、橫向移動、植入後門,全程沒有人類介入。
4 月 28 日,IBM Security 發布 Autonomous Security Assistant,正式把「自主 AI 防禦」做成商品。攻防雙方都在用 AI——這是 2026 年資安的新基準。
📊 4 月關鍵時間線
| 日期 | 事件 |
|---|---|
| 4/07 | Anthropic 公布 Claude Mythos 找出 FortiGate SSL-VPN 零日 |
| 4/08 | Fortinet 收到通報,開始補丁開發 |
| 4/12 | Fortinet 發布 patch,公告 CVE-2026-31415 |
| 4/14 | 漏洞細節在地下論壇開始流傳 |
| 4/15 | Unit 42 觀察到「完全自主的攻擊鏈」首例 |
| 4/16-22 | 55 國 600 設備被攻陷 |
| 4/24 | Mandiant 確認攻擊方使用 未公開的中國 lab 模型(可能是 DeepSeek 衍生) |
| 4/28 | IBM 推 Autonomous Security Assistant 商品化 |
最關鍵的觀察是 4/15 那天的「完全自主攻擊鏈」——過去所有「AI 攻擊」都還有人類在 loop 裡(指定目標、確認動作、收尾洗錢)。這次是第一次有事件記錄顯示「人類只下了一個高層目標,後續全 AI 完成」。
🤖 自主攻擊鏈的還原
根據 Mandiant + Unit 42 聯合分析,攻擊鏈大致如下:
階段 1:目標設定(人類) 攻擊方下指令:「找出 SSL-VPN 暴露在網際網路上的中型企業,優先金融與能源業」
階段 2:掃描 + 篩選(AI 自主) AI 用 Shodan-like 掃描器找出全球符合條件的目標約 120,000 台設備。AI 自己跑 fingerprinting,篩出 FortiGate 7.4-7.6 版本(漏洞範圍)約 15,000 台。
階段 3:exploit 生成(AI 自主) 基於公開的 CVE-2026-31415 patch diff,AI 自己逆向生成 exploit code——這部分過去是人類研究員的工作,需要數天到數週,AI 在 4-6 小時內完成。
階段 4:批次攻擊 + 篩選(AI 自主) 對 15,000 台目標跑 exploit,成功攻入 600 台(成功率約 4%——剩餘已打 patch 或有額外保護)。AI 自己評估每台的「價值」(資料量、連網設備數、組織規模),排優先順序。
階段 5:橫向移動 + 植入(AI 自主) 在 600 台被攻陷設備上,AI 自己跑 lateral movement——識別 Active Directory、找 domain admin、植入 persistence backdoor。整個過程沒有人類介入。
階段 6:資料外洩(AI + 人類混合) AI 自己決定「有價值的資料類型」(財務報表、合約、客戶資料、研發文件),壓縮加密外傳。人類只在最後一步介入收尾。
整個鏈從目標下達到資料外洩,平均 9-14 小時完成。過去人類團隊做這件事需要 2-4 週。
🔍 為什麼這次是分水嶺?
過去「AI 攻擊」案例多數是輔助型——AI 寫釣魚信、AI 寫 malware 變種、AI 翻譯外語社交工程。這些 AI 是「人類攻擊者的工具」。
4 月案例的不同:
(1) 全程自主決策——AI 不只執行,還在做戰術決策(挑哪個目標、用哪個 exploit、什麼時機橫向移動) (2) 動態適應——遇到防禦會即時調整策略,不是按腳本走 (3) 規模化執行——15,000 個目標的篩選 + 攻擊,人類團隊不可能在這個時間規模操作 (4) 攻擊方可能不是國家行為者——Mandiant 評估「規模 / 戰術手法看起來是國家級,但行為模式更像商業犯罪集團」
這個模糊性是真正的警訊——過去國家級攻擊可以歸因(APT28 = 俄羅斯軍情總局),商業犯罪集團能力有限。現在 AI 把商業犯罪集團的能力推到準國家級,但可歸因性下降。
🛡️ 防禦端的反應
IBM Autonomous Security Assistant(4/28 推出)是業界第一個正式的「AI vs AI」商業產品。功能包括:
- 24/7 自主威脅獵捕——掃描 endpoints、network、cloud,找出異常模式
- 自動 patch 評估——對新公布的 CVE 自動評估「對你的環境威脅程度」並排序修補優先
- 自主響應——偵測到入侵時,自動隔離、撤銷憑證、收集證據——人類在 loop 裡,但有 fallback 自動模式
價格:$50K-$200K / 年(視組織規模)——比傳統 SOC 服務貴,但同等規模的人工 SOC 至少 $500K / 年。這個 ROI 讓中型企業有能力部署 24/7 防禦,過去只有大企業負擔得起。
但 IBM 不是唯一——CrowdStrike、SentinelOne、Microsoft Defender XDR 都有類似產品在路上,2026 下半會密集發表。「Autonomous SOC」會變成 2027 年企業資安標配。
⚠️ 但「AI 防禦」不是萬靈丹
幾個結構性問題:
(1) 防禦永遠落後攻擊一步 攻擊只需要找到一個漏洞,防禦要堵所有漏洞。這個不對稱在 AI 時代沒改變。AI 防禦速度更快,但攻擊 AI 的速度也更快——整體速率上升,但相對位置不變。
(2) AI 防禦本身可被攻擊 2026 年初 Black Hat Asia 已有研究展示「對 AI SOC 的對抗性攻擊」——攻擊方故意產生「看起來正常」的入侵模式,讓 AI SOC 學成「這個模式 = 正常」。Poisoning AI 防禦會變新攻擊面。
(3) 「責任歸屬」變模糊 傳統:資安事故發生 → CISO + IT 團隊負責。AI 自主防禦失敗:「AI 沒抓到所以是 IBM 的責任?」、「人類沒覆核 AI 的決策所以是 CISO 的責任?」——這個法律框架還沒成熟。
(4) 中小企業「沒辦法升級」 Autonomous Security 仍是大公司專利。中小企業:(a) 沒預算買、(b) 沒有自己的安全團隊監督 AI、(c) 仍是攻擊主要目標。AI 攻防只會放大企業之間的資安差距。
💡 Mason 的判斷
「AI vs AI 的資安戰爭」不是未來,是現在進行式。但對多數人來說,這個議題仍被誤解:
誤解 1:「AI 攻擊就是更快的傳統攻擊」 不是。AI 攻擊改變了攻擊的本質——可以做超大規模批次篩選 + 動態適應 + 自主決策。這不是「快 100 倍的駭客」,是「新的攻擊範式**」。
誤解 2:「防禦只要也用 AI 就好」 不夠。AI 防禦是必要不充分。還需要重新設計「人 + AI」的責任鏈、漏洞管理、事故反應流程。多數企業到 2026 仍卡在「買了 AI 工具,沒重新設計流程」這個階段。
誤解 3:「只有大企業會被 AI 攻擊」 錯。AI 攻擊的成本下降後,中小企業會變成最大目標——批次掃描成本接近於零,攻擊方不再需要「值不值得」這個篩選。所有有公開 IP 的設備都會被掃。
對台灣的延伸:台灣中小企業資安預算與意識遠低於日韓新加坡。AI 攻擊產業化後,2026-2027 預期會出現:
- 第一起台灣中小企業被「完全自主 AI 攻擊」攻陷的公開案例——可能來自製造業 OT 系統、醫療院所、地方政府
- 健保、勞保、戶政這些大型公部門系統會變高價值目標——一旦失守,影響範圍是國家級
- 資安人才缺口會更尖銳——同時懂 AI 與懂傳統資安的人才極稀缺,薪水會被推高
🎯 不同角色的建議
給企業 CISO / IT 主管:
- 這個月做 patch 管理盤點——CVE-2026-31415 (FortiGate) 還沒打的快打。AI 攻擊已經在掃這個漏洞
- 不要等大公司用了再用 AI 防禦——中型企業現在就該評估 IBM、CrowdStrike、SentinelOne 的 AI 產品。等 2027 普及時可能已被攻
- 重新設計「事故響應流程」加入 AI 角色——明確「哪些決策 AI 可自主做、哪些必須人類覆核」
給資安從業者:
- AI 資安是 2026-2030 最大的人才需求——現在投資學習 LLM + 對抗性 ML + 自主 Agent 設計會在未來 3 年回收
- 不要害怕 AI 取代你——取代的是「重複性監控」,擴大的是「判斷 / 戰略 / 對抗性思考」——後者需求只會更大
- 對「AI 防禦廠商」的銷售要保持懷疑——多數產品在實戰中仍有顯著盲點
給政策制定者:
- 建立「自主 AI 攻擊」的歸因 / 究責框架——目前法律對「AI 自主行為」的歸責不清楚,這個漏洞會被攻擊方利用
- 對中小企業的資安補貼應該優先「Autonomous Security」工具——這是降低社會總體資安風險最有效的方式
- 國際合作對「AI 攻擊歸因」變得比過去更重要——單一國家無法獨自追蹤跨國 AI 攻擊鏈
給一般使用者:
- 你的個人裝置(手機、電腦、家用路由器)被 AI 自主攻擊掃到的機率今年大幅上升——(1) 啟用所有自動更新、(2) 用 passkey 替代密碼、(3) 警覺異常的網路行為(突然慢、奇怪流量)
- 不要相信「AI 攻擊只攻擊大公司」——批次掃描下你的家用設備也會被掃。個人資安的最低門檻已經提高
❓ FAQ
FortiGate 那個 zero-day 跟一般 CVE 有什麼不同?
技術上不算特別新穎(SSL-VPN 認證繞過,過去 5 年類似漏洞 7-8 個)。特別在「發現方式」——過去 zero-day 由人類研究員或自動 fuzzing 工具找出;這次是大型 AI 模型在「想出新攻擊面」這個任務上自主找到的。
對防禦端的意義:未來新 CVE 的發布速度會加快——AI 找漏洞的速度比人類快 10-50 倍。patch cycle 必須跟上,慢就會被攻。
「完全自主 AI 攻擊」真的存在嗎?還是 Mandiant 在誇張?
4/15 案例是 Mandiant + Unit 42 + Microsoft Threat Intelligence 三家獨立確認的——可信度高。「完全自主」的定義是「人類只下了一個高層目標(找 SSL-VPN 暴露的金融能源公司),後續所有戰術決策都由 AI 完成」。
可能仍有人類在 loop 裡監看(以防 AI 出錯),但戰術層級的決策確實是 AI 做的——這個程度過去沒見過。Mandiant 沒誇張,但也不是「完全沒人類監督」——後者在技術上目前仍少見。
那我家裡的 router、家用 NAS 會被 AI 攻嗎?
會,而且機率比過去高很多。批次掃描的成本接近於零,所有有公開 IP 的設備都會被列入掃描清單。家用 router、NAS、智慧家電(尤其便宜的 IoT)都是高風險。
對策:(1) 啟用自動更新——多數家用設備有更新機制但預設關閉。(2) 不要把不必要的服務暴露公開 IP——尤其 SSH、RDP、Web 管理介面。(3) 用 router 的訪客網路隔離 IoT——讓被攻入的智慧電視不會看到你的個人電腦。(4) 強密碼 + passkey——能用 passkey 的服務都換掉。
Sources:
- Anthropic Claude Mythos discovers FortiGate zero-day — Anthropic Newsroom
- Autonomous AI attack chain on FortiGate devices — Unit 42 Palo Alto Networks
- Mandiant: Attribution analysis of FortiGate AI campaign — Mandiant
- IBM Autonomous Security Assistant launch — IBM Newsroom
- Why this is the moment of AI cyber warfare — Dark Reading