消除產品資安盲點，減少可乘之機

隨著各式技術推陳出新，尤其是AI突飛猛進，以及量子運算發展腳步加快，固然帶來許多便利，但這些進展也同樣幫助惡意人士，大幅擴展攻擊的方式、能力、規模，以及速度。

就平均資料外洩時間（Mean Time To Exfiltrate，MTTE）而言，Palo Alto Networks表示，2021年需要9天，2023年縮至兩天，到了2025年只剩下25分鐘，短短兩年，減少了一百多倍，差別在於後來有了AI的協力。

Fortinet則在2026網路威脅預測報告當中，提出三種可能情境。首先，若以單一勒索軟體聯盟過去協調一次攻擊耗費的時間為基準，如今可在這段時間之內，發動十次攻擊；攻擊者可運用AI模型，在數分鐘內解析他們取得的數TB資料，藉此快速識別優先勒索的目標；資安維運團隊需盡快隔離遭感染的端點電腦，搶在惡意軟體進行自動橫向移動之前，完成相關工作。

另一個導致資安威脅態勢惡化的因素，在於自動化處理與AI被整合到攻擊行動開發與部署的每個階段，導致攻擊生命週期的加速進行，從侵入到造成後果的時間持續縮短。舉例來說，過去需要幾天將他們取得的非法存取方式轉換為實質金錢利益，如今運用自動偵察、資料分析，以及勒索手法，僅需幾個小時就能獲得不義之財。

動作速度變得更快之餘，攻擊者得以進行滲透與破壞的重要武器，不只是各式資安防護的弱點與盲點，以及外洩的身分憑證，根據趨勢科技的2026網路威脅報告指出，營運勒索軟體的駭客組織，還會運用企業知識庫、AI模型，以及供應鏈相依性，進而將業務資產轉為攻擊面。

他們認為，攻擊者可透過自動化辨識具有廣大影響力的目標、濫用不同主體的相互依存關係，並對受害者施加為其量身打造的壓力，藉此將企業員工每天使用的業務工具與合作關係，轉為駭進個人電腦、伺服器或應用系統的入口，並且濫用企業仰賴的相同網路環境與整合機制。屆時，即使是平時有良好資安防護的企業與組織，仍會因為攻擊者能夠運用先前他們從其他管道竊取或收集的資訊、外洩的資料，以及錯假資訊，而得以嚴重破壞信任與聲譽，因此面臨重大營運中斷的事故。

關於上述資訊的濫用，許多資安廠商稱之為武器化（weaponizing或weaponization），最初之所以被大家注意到這樣的趨勢，源自各種資通訊產品的資安漏洞揭露，若有心人士提前得知此類情報，或是在廠商、資安研究業者與機構公布消息後，以及用戶來不及著手修補或緩解前的空窗期，攻擊者就能乘虛而入。

單就2025這一年而言，公開揭露的資安漏洞（CVE）總數可能達到5萬個，這有多重含義。表面上，一般人都會認為，CVE漏洞數量越多，代表越不安全，產品供應商、資安研究人員、用戶都必須設法處理這些風險，以免遭到網路犯罪份子濫用而受害。

不過，全球最大漏洞懸賞計畫ZDI計畫負責人Brian Gorenc說：「當你看到CVE數量增加時，也往往意味著有更多錯誤正在被修復。」而且，這是資安主編羅正漢今年8月應邀參加美國黑帽大會，與其面對面專訪所得到的兩句話。

不過，隨著自動化、AI等各種技術的推陳出新與持續普及，對於肆無忌憚的攻擊者而言，這些都是加速所有滲透與破壞手法的必用手段，發現與濫用已知與未知漏洞、偵察與突破資安防護缺口的時間變得越來越短，攻擊影響範圍也勢必更加廣泛。

因此，對於資安產業與用戶而言，除了積極投入與發展「以魔法對付魔法」的反制與防禦技術，也必須重視「節流」，減少三項因素（技術、流程、人）的受攻擊面（Attack Surface），降低不必要的威脅暴露（Threat Exposure）。例如，越多越多人重視縱深防禦（Defense in Depth或layered defense），以及零信任架構（例如，採用多因素驗證、落實最小權限原則等），然而，產品資安的持續改善也很重要，業界一路從Security by Design、Security by Default，發展到Security by Demand，顯示強化產品資安的力道從供應商端的自覺、監管機關的命令，擴及整體市場的需求端，若改善程度達到一定水準，攻擊者能施展的空間就會越來越受限。