在 AI 技術全面進入企業底層架構之前,資安防護其實就已經面臨巨大的壓力。隨著生成式 AI 迅速擴張了企業的攻擊面並增加系統複雜性,傳統防禦手段的局限性變得愈發明顯。在最近的 MIT Technology Review EmTech AI 研討會中,資安專家 Tarique Mustafa 提出了核心觀點:資安不應該是事後才疊加的補丁,而必須從設計之初就將 AI 視為核心,重新思考安全架構。
以往的資安邏輯多半是「疊加式」的。每當新的軟體或服務上線,技術團隊會習慣在其外圍築起防火牆或安裝監測工具。然而,當 AI 成為企業營運的一環時,這種外部防線開始顯露疲態。攻擊者現在能利用 AI 快速生成更難偵測的釣魚攻擊或惡意程式,甚至能針對 AI 模型本身的弱點進行「提示注入」(Prompt Injection)或「資料投毒」(Data Poisoning)。這意味著,如果企業仍沿用過去的被動式偵測,根本無法應付這種動態且具備自我演化潛力的威脅。
這項發展對產業的影響是全方位的。首先在技術層面,傳統以特徵碼為基礎的過濾機制,在面對 AI 自動產生的變體惡意軟體時幾乎毫無招架之力。其次在管理層面,AI 模型的運作邏輯往往不夠透明,這讓安全性稽核與風險控管變得極其困難。企業必須體認到,AI 安全不再只是單純的軟體更新,而是一場營運思維的轉向:安全防護必須在開發 AI 應用的第一天就深度嵌入其中,而非等出事了才想辦法修補。
為什麼這個議題在當下值得高度關注?因為我們正處於一個數位防禦的轉折點。防禦方如果只把 AI 當成一種輔助性的偵測工具,而沒有從根本上重新調整防禦架構,將會陷入永久性的落後局面。Mustafa 的觀點提醒我們,AI 既是威脅的來源,也是解決問題的關鍵。唯有將資安邏輯與 AI 技術深度融合,才能在複雜度暴增的時代中,建立起具備主動防禦能力的數位韌性,而非僅僅依賴一堵看似牢固、實則脆弱的舊式防線。