隨著AI瀏覽器與AI代理在2025下半年快速發展,研究人員揭露AI代理風險的消息亦不斷傳出,非營利組織OWASP亦於去年底發布首份「AI代理10大風險」,同樣是在喚起各界對此新興領域安全性的重視。
近期我們報導這方面的消息之餘,同時也向OWASP臺灣的社群專家了解其發展態勢。該組織臺灣分會會長胡辰澔特別強調,十大風險的用意在於提高對於弱點的意識,並不是拿來做為招標依據或是絕對性的標準。他直言,曾聽聞有政府單位想要拿LLM十大風險來做招標規範,他對此深感不安。
關於應對AI安全的發展上,綜觀全球已有多項重要發展,例如,美國非營利組織MITRE發布攻擊戰術與技術框架MITRE ATLAS,國際標準組織ISO也發布AI管理系統國際標準ISO 42001,近期還有美國NIST啟動AI代理標準倡議,推動跨系統互通與安全運作的基礎建立。
在OWASP社群的發展動態中,近期大家關注AI代理10大風險的發布,然而,另一項專案「AI資安驗證標準(AISVS)的進展,同樣不容忽視。
胡辰澔進一步解釋,近年來OWASP對於AI專案改為建構出一個總計畫「OWASP GenAI Security Project」,這個項目下有多個子專案,包括大家比較熟知的LLM十大風險、AI代理十大風險,其他重要議題還包括AIBOM Generator、AI資安驗證標準(AISVS)、AI漏洞評分系統(AIVSS)。
因此他再次強調,公布十大排行榜(Top 10)是為了增進大家對風險的認識,針對常見風險提出示警。但風險並不是只有這些,真正要考量風險應從通盤治理的角度出發,企業最終應是要去參考多項安全指南進行全面評估,了解風險只是入門方式之一。
以OWASP社群近期發展重點而言,最重要的是上述AI資安驗證標準(AISVS),全名是AI Security Verification Standard,目的是建立標準化的安全需求架構,驗證AI系統的安全性。
AI漏洞評分系統(AIVSS)目前是這項專案的關鍵之一,其全名是AI Vulnerability Scoring System,才能針對AI特有的威脅,提供精確的風險量化指標。但社群中亦有其他評分專案正在討論。
胡辰澔坦言,GenAI Security Project發展的初期,並未優先將資源投入AISVS專案,但隨著產業對AI安全標準化的需求日益迫切,社群目前的開發重點已全面轉向此領域。
儘管上述專案具體發布時程尚未定案,胡辰澔觀察到社群內部有許多不同意見,他自身對於評分系統設計亦有不同想法。但我們可以確定的是,對於AI漏洞與分類的標準化,毫無疑問是大家關注的下一重點。
這也顯現AI技術飛漲之際,局勢瞬息萬變,大家對於相關風險的認知,正在不斷討論的過程中演進,試圖建構出具共識的標準化框架。
OWASP Gen AI Security Project.jpg)
熱門新聞
2026-03-06
2026-03-11
2026-03-06
2026-03-10