企業導入 AI 這一年,資安的問題悄悄換了樣貌。當 AI 還只是個聊天視窗時,大家擔心的是「模型會不會被騙出不該講的話」;但當企業把 AI 變成 agent——給它讀郵件、查資料庫、串內部 API、甚至能對外送資料的權限——真正的風險就變成:它會不會被一段藏在網頁或郵件裡的文字誘導,去做一件它「有權限做、但根本不該做」的事?
這正是 2026 年 AI 資安最該被講清楚、台灣卻很少有人把它講透的一課:信任邊界(trust boundary)。而三套彼此獨立的權威框架,最後都指向同一個結論。
三套框架,同一個結論:問題在授權,不在模型
先把可查證的攤開:
- OWASP 的 GenAI 安全清單裡,Prompt Injection 連兩版蟬聯 LLM01(第一名風險),並正式區分「直接注入」與「間接注入」(惡意指令藏在 agent 會讀到的外部內容裡)。2026 年的 Agentic 版更點名 agent 專屬風險:目標劫持(Goal Hijack)、過度授權(Excessive Agency)、記憶投毒。而 OWASP 一份追蹤 53 個 agentic 專案的報告更直接定調:prompt injection 在架構層「沒有完整技術解」,現有方法只能降風險、不能根除。
- Simon Willison 的「致命三重奏」(Lethal Trifecta):當一個 agent 同時具備①能存取私密資料、②會接觸不可信內容、③能對外傳輸——它就能被輕易誘導把資料外洩。三者缺一,攻擊就難成立。
- Meta 的「二選一原則」(Agents Rule of Two):在能可靠偵測 prompt injection 之前,agent 在單一工作階段裡,「處理不可信輸入/存取敏感資料/改變狀態或對外通訊」這三項,最多只能同時具備兩項。
看出共同點了嗎?這三套框架都不是在問「模型夠不夠聰明」,而是在問「你給了它多少權限 × 它接觸多少不可信輸入」。 這就是為什麼我要下這個判斷:AI agent 最大的資安風險,不是模型被駭,是它被授權去做它不該做的事。
為什麼「等更安全的模型」是錯的答案
因為 prompt injection 的根源,是 LLM 天生分不清「指令」和「資料」——餵給它的一切它都可能當成指令執行。這是架構層的問題,OWASP 已經說了沒有完整解。所以正確的心態不是「等一個防得住注入的模型」,而是「假設它終究會被騙,那我怎麼確保被騙了也造不成大禍」。
供應鏈是另一個常被低估的破口。OWASP 報告記錄了一起 LiteLLM(許多 agent 框架底層的 gateway)被供應鏈投毒的事件:攻擊者利用設定失誤,向 PyPI 推送含後門的版本,在被下架前約三小時內被下載了近 47,000 次(數字據 OWASP 報告)。這說明 2026 年的 agent 資安,先是供應鏈問題,其次才是 prompt injection。相關案例可對照 AI coding agent 供應鏈攻擊 與 Langflow 被用於 agentic 勒索。
台灣資安界其實講得很生動。趨勢科技總經理洪偉淦提醒,代理式 AI 可以「把整個攻擊鏈串好」,而約七成事故源自「沒有管到的地方」,並主張把資安當成「競爭優勢,而不是成本」。奧義智慧創辦人邱銘彰的比喻更傳神:AI 會從工具變成員工、再變成工作夥伴,但一個不小心就變成公司新的內賊。
台灣的規則:紅線輪廓已畫,格子要自己填
這是外電框架不會替台灣接上的一段。台灣在制度上其實走得不慢,只是給的是「輪廓」而非「細節」。
- 《人工智慧基本法》(2025-12-23 三讀、主管機關國科會)明定:經認定為高風險的 AI 應用「應明確標示注意事項或警語」,且政府應就高風險應用「明確其責任歸屬及歸責條件」。它是原則法,把紅線的具體位置留給各部會兩年內訂的子法。
- 金管會《金融業運用 AI 指引》(2024-06-20)已經有一條堪稱「人工確認點」官方版的要求:金融機構使用第三方生成式 AI,若無法掌握其訓練過程,「仍須由其人員就其風險進行客觀且專業的管控」。而據報導,金管會 2026 年進一步要把「代理 AI(AI Agent)」與 AI 風險分類納入指引,部分高風險應用「可能要求不得完全由 AI 自主決策,仍須保留人工介入」。
換句話說:法規給了你紅線的輪廓——高風險要標示、要究責、要保留人工介入——但把信任邊界畫在你系統的哪一格,是每家企業自己的工程題。
給台灣企業的信任邊界檢查清單
這是 SERP 上最大的缺口,也是最實用的一段。導入 AI agent 前,用這六點畫你的邊界:
- 輸入來源信任分級:把餵給 agent 的內容分成「可信(內部審核過)/半可信/完全不可信(網頁、外部郵件、使用者上傳)」,不可信內容永遠不當指令執行。
- 最小權限:每個工具、每把 API key 只給「完成這一步」所需的權限,讀寫分離、範圍收斂。別為了方便給 agent 一把萬能鑰匙。
- 人工確認點:高風險動作(轉帳、刪除、對外送資料、改設定)一律停下等人核可——這正對接金管會「不得完全由 AI 自主決策」與 OWASP「高風險動作需人工核可」。
- 套用「二選一原則」自檢:任何 agent 流程,只要同時具備「處理不可信輸入+存取敏感資料+能對外通訊」三者就是紅燈,拆掉其中一項。
- 供應鏈盤點:MCP server、第三方 skills、agent 框架套件(記得 LiteLLM)都要鎖版本、驗簽章、掃描。
- 先看得見,再談防禦:先能觀測所有 agent 在做什麼、動了哪些資料,才有辦法治理「影子 AI」——這正呼應洪偉淦「七成事故在沒管到的地方」。
要把這些落成可驗收的導入標準,可搭配 企業 AI Agent 檢查清單 與 prompt injection 的原理與防禦;治理面的整體做法見 AI agent 治理與影子 AI。
常見問題
Prompt injection 和越獄(jailbreak)差在哪?
越獄是使用者自己想辦法讓模型說出被禁止的內容;prompt injection 則是第三方把惡意指令藏在 agent 會讀到的資料裡(例如一封郵件、一個網頁),讓 agent 在你不知情下執行。對企業來說 prompt injection 更危險,因為受害的是「有權限的 agent」——它可能被誘導去存取或外送它其實有權限碰、但這次不該碰的資料。OWASP 也把 prompt injection 列為 LLM 風險第一名。
AI agent 被入侵,企業會損失什麼?
不一定是「模型被駭」,更常見的是 agent 被誘導濫用它自己的權限:把內部資料外送、對錯誤對象轉帳、刪改資料、或成為橫向移動的跳板。因為它是「有帳號、有權限的內部角色」,一旦被劫持,造成的破壞可能比外部駭客更深。這也是為什麼防禦重點要放在權限設計與人工確認點,而不是只寄望模型本身不被騙。
台灣有沒有 AI 資安的法規或指引可以參考?
有輪廓。《人工智慧基本法》(2025-12-23 三讀、國科會主管)要求高風險 AI 應用標示警語並明確責任歸屬;金管會《金融業運用 AI 指引》(2024-06-20)要求對第三方生成式 AI 保留人員的專業管控,且 2026 年進一步把「代理 AI+保留人工介入」納入監理方向。但這些是原則與方向,具體技術邊界仍要企業自己依 OWASP、NIST AI RMF 等框架落地。