CYBERSEC 2026 臺灣資安年鑑─ AI代理改寫資安戰局 掌握10大關鍵風險

掌握近期企業重大資安事故以及資安防禦觀念，有助於企業了解即將面對的各種挑戰以及如何因應。

【推薦序】
◎資安大海嘯時代來臨──李宗翰∕iThome副總編輯

【作者序】
◎毫無意外，生成式AI經過近幾年的蓬勃發展，與AI代理人相關的各種應用已成為IT領域的熱門話題，2025年底掀起至今的OpenClaw旋風，為代理型AI開啟新的可能性。AI模型的能力也突飛猛進，尤其是今年4月初AI模型開發商Anthropic公布Claude Mythos Preview之後，更是震撼全世界所有關心資安的人士，讚嘆AI的強大之餘，也害怕當AI海嘯即將來襲、潮水退去時，大家都知道誰在裸泳。
該公司宣稱找出數千個高風險與重大資安漏洞，並向多個開源軟體維護人員與閉源廠商揭露，展開合作，也聯繫大量資安專業承包商，協助揭露這些漏洞的流程，在對外發送相關情資前，將由這些業者手動驗證每一份問題報告，確保維護人員能夠收到高品質的漏洞報告。
在Claude Mythos Preview發現的漏洞中，Anthropic列出三個是僅依賴初始提示就找到的零時差漏洞：首先是以整合多項安全功能著稱的作業系統OpenBSD，被發現1個存在27年的漏洞；其次是大量用於各種軟體的影片編解碼框架FFmpeg，被發現1個存在16年的漏洞。
第三個被Claude Mythos Preview找出的漏洞，是具有記憶體安全防護能力的虛擬機器監控器（memory-safe VMM），目前尚未被修補，攻擊者在虛擬機器內部可對主機系統記憶體執行越界寫入。
一週後，英國AI安全研究所公布評測Claude Mythos Preview的結果，在資安搶旗賽（CTF）專家級任務中，成功率達73％，也成為第一個從頭至尾完整解出32個步驟企業攻擊鏈的AI模型，平均完成22個步驟。該機構警示，該項測試不僅展現Mythos Preview能駭入資安脆弱的系統，未來可能將開發出更多具備這類能力的AI模型。
對此，多個國家政府的主管機關正在密切關注相關風險。許多資安廠商與業界專家也表達意見。XDR與MDR廠商Cynet直言，AI資安的應用不只是漏洞修補的問題，而是資安態勢（posture）的問題，廠商的資安合作若要成功，並非只是更快應變，而是持續理解暴露的風險、阻止惡意與異常行為，並與客戶建立封閉式循環處理流程。
承接美國政府與國防專案的科技顧問公司Booz Allen Hamilton的AI民政部門總裁Bassel Haidar表示，這並非模型的故事，而是架構的故事，真正的瓶頸轉移到多數組織未準備好的領域：駕馭機制（Harness）的設計、治理的層級、評估的大規模擴展，以及環繞AI模型周遭的各種系統，因此，領先者並不追逐AI，而是控制AI。
面對更大的AI資安浪潮即將來襲，任何企業與組織再也無法漠視暴露的資安風險，因為找出這些可乘之機將會越來越容易!

【內容試讀】
◎OWASP發布Agentic十大風險，揭露AI代理常見資安挑戰
隨著大型語言模型（LLM）的不斷發展，生成式AI從堪用變得漸漸實用，如今更是朝向Agentic AI（代理AI）的應用階段邁進，然而，在迎接新技術的同時，相關風險的認識與緩解，也成為重要議題。
過去經常發布10大資安風險的非營利組織OWASP，不只發布LLM應用程式10大風險排行，希望喚起各界對於LLM風險的重視，到了2025年12月，再針對AI代理發布10大風險排行，也就是「OWASP Top 10 for Agentic Applications for 2026」。
經歷3年以上的發展，生成式AI應用正逐漸深入日常生活，就連Google搜尋也將AI摘要結果置頂。更關鍵是，自2025年下半開始，AI瀏覽器與AI代理的快速發展，使得現代Agent展現自主規畫、調用外部API、操作資料庫與執行任務的能力，有別於過往僅能回應生成文字。
這也顯現AI資安議題正從LLM模型安全，擴大至更複雜的AI代理安全（Agentic Security）。然而，大家對這方面的風險，卻還是處於一知半解的狀態，因此我們決定介紹這10大Agentic風險，並針對每項風險一一設計圖示、搭配易於逐一項目瀏覽的圖文版型配置，方便大家聯想其概念，同時還邀請OWASP臺灣分會會長胡辰澔協助導讀，透過他參與國際社群的實務觀察，提供更深刻的重要觀點解析。
風險1  代理目標劫持 
這是指由於AI代理（Agents）具備自主執行能力，但AI代理無法透過可靠的方式區分合法指令，因此存在固有安全弱點，這就讓攻擊者有可乘之機，可透過多種手法操縱代理的目標、任務選擇或決策路徑。例如，透過惡意提示詞（Prompt）、偽造工具輸出或污染資料——進而改變代理的決策與行為。
換句話說，在代理式架構下，由於指令與資料混雜於同一自然語言的脈絡，代理無法可靠地區分合法指令與攻擊者控制的內容。
對於此項風險要如何理解？胡辰澔指出，我們可以用AI世界裡的 Command Injection（指令注入）去設想「代理目標劫持」，重點在於可能操縱Agent的整體核心目標與結果。他並以近期熱門的OpenClaw為例，這個Agent是在個人電腦本機上執行，想像有人傳送一封包含惡意的電子郵件，當OpenClaw讀取該信件內容時，其中的隱藏指令便覆蓋掉原有的系統提示或核心提示，導致Agent執行結果的不同。
這與LLM風險所提的「提示詞注入」不同，並非單次回應遭到操弄，「代理目標劫持」的涵蓋更廣，能操弄整個Agent的目標與結果。
風險 2  工具濫用與調用
Agent並不是只有對話框，而是具備工具、甚至已進化成自動化技能組合Skill的執行架構。
以ASI02的工具濫用而言，指的是代理可能因為提示詞注入、目標對齊失效、不安全授權或模糊指令而誤用合法工具，進而導致資料外洩、工具輸出被操縱，或是工作流被劫持。
這項風險最主要關鍵是：代理如何選擇與應用工具。還有代理的記憶機制、動態工具選擇及授權委派，可能因為鏈式呼叫、權限提升與非預期行動而助長濫用。而這部分又與LLM風險的「過度代理」不同，Tool濫用側重在「合法工具」的誤用。
對此風險，胡辰澔的舉例是Vibe coding，有人使用AI輔助開發模式，結果整個檔案被rm -rf指令刪除，這正是「給了合法工具，卻被以不安全或非預期方式執行」的典型。
風險3  身分與權限濫用
這項風險，主要存在於Agent系統中的動態信任，以及委派機制，在整個執行過程中，會因身分與權限濫用，而造成權限提升並繞過安全管控，包括操縱委派鏈（Delegation Chains）、角色繼承、控制流、Agent上下文。
此風險源於以使用者為中心的身分系統，與代理式設計之間的架構落差。若Agent缺乏獨立受控的身分（涵蓋其指派角色及任何驗證資料API Key、OAuth Token、委派Session），就會有責任歸屬盲點，導致最小權限原則無法落實。
這與上一項風險ASI02工具濫用不同，簡單來說，若是濫用涉及權限提升或憑證繼承，就會歸類在ASI03身分與權限濫用。
風險4  代理式供應鏈漏洞
當Agent調用的模型、工具、外掛、資料、MCP（Model Context Protocol）、A2A（Agent2Agent）由第三方提供，一旦遭惡意、遭入侵或在傳輸中遭竄改，就會造成代理式供應鏈漏洞。這些依賴可能將不安全程式碼、隱藏指令或欺騙行為，引入AI代理的執行鏈。
胡辰澔解釋，現在AI Agent可能會根據指令，自主檢索並導入所需的工具或數據以補足執行資訊；然而，若其擷取的組件或數據存有惡意程式，便等同於Agent讓你被駭。
他並以MCP（Model Context Protocol）為例說明此項風險：若惡意套件偽裝成合法的MCP服務，一旦AI Agent調用其功能發送郵件，該套件便可能暗中將郵件密件副本傳給外部第三方，導致敏感資訊外洩。因此，Agent引用的資源是否安全會是關鍵，近期業界高度強調AI SBOM（AI軟體物料清單）也是聚焦此類議題。
風險5  非預期程式碼執行RCE
代理式系統（包含當前流行的Vibe coding工具）經常產生並執行程式碼。攻擊者可能設法將單純的指令升級為遠端程式碼執行（RCE）、本機濫用或對內部系統的滲透。由於這些程式碼是由Agent根據對話即時產生的，傳統的靜態安全掃描往往難以攔截。
胡辰澔解釋，例如Vibe coding時，若是生成的程式碼有漏洞，攻擊者可能透過其他方法取得你Agent的權限，然後利用提示詞讓你的應用產生漏洞，造成RCE。
從這些描述來看，似乎也屬於濫用行為，但與ASI02工具濫用風險是否有點雷同嗎？胡辰澔坦言，OWASP社群確實對此項目有許多議論，因為與工具濫用有部分重疊，但眾人討論認為這可能是特點而非單純工具控制，因此這一版暫不整併兩者。
風險6  記憶體與上下文毒化
為了維持任務連貫性，代理系統高度依賴儲存與檢索機制，如對話歷程快照、記憶體工具或擴展情境，其承載的上下文涵蓋了摘要、嵌入向量及RAG儲存內容。
這項風險在於，攻擊者以惡意或誤導性資料方式，污染或植入這些情境，導致Agent在後續的推理、規畫或工具調度中產生偏差、不安全操作，甚至觸發機敏資料外洩。
這項風險來自Agent汲取來源時，像是檔案上傳、API餵送、peer-agent交換，可能因為本質上不可信或是僅部分有被驗證。
對於這類毒化問題，胡辰澔進一步提出其觀點，指出這類風險在短期可能看不出來，但長期下來在角色或行為上可能就會出現問題，他並提醒，大家要了解LLM有個特性，就是如果你騙它騙久了，它最後就會把這些內容當成事實，儘管對於大型語言模型影響較低，但小型語言模型的影響就會較大。
風險7  不安全的代理間通訊
在多代理系統之下，自主代理會透過API、訊息匯流排、共用記憶體以保持持續通訊與協作，但這也顯著擴大了攻擊面。例如，當這類架構通常具備高度去中心、自主程度不一、信任程度不均的情況，將使得以邊界為基礎的安全模型不再有效。再加上代理間在身分驗證、完整性、機密性或授權上的控制較為薄弱，使得攻擊者得以攔截、竄改、冒充或阻斷訊息。
對此風險，胡辰澔很直白地說明，這主要是在提醒大家，別讓API門戶大開到讓中間人攻擊容易有機可乘。就像是通訊如果不加密，攻擊者就能輕易攔截並讀取訊息，雖然現在已有mTLS或Token等防護機制，但實務上仍有許多通訊過程是完全不加密的。至於Token是否代表絕對安全？答案是不一定，但比起「完全沒保護」會好一些。
風險8  連鎖故障
這項風險是指當單一故障在自主代理間傳播引發系統級危害時，造成連鎖故障反應，所謂的單一故障，涵蓋幻覺、惡意輸入、工具遭破壞或記憶污染，在代理、工具、工作流程間的傳播放大，這些潛在的故障就會引發系統級的危害，從原本微小的故障，演變成影響機密性、完整性與可用性的特權操作，最終導致大規模的連鎖崩潰與服務失效。
對此，胡辰澔表示，當今Agent通常會使用多個，因此，如果其中一個代理出現幻覺或被毒化，被其下層代理當成事實，就會產生連鎖反應。像是今年初有人在網路分享用AI進行市場交易，如果市場分析被毒化了，下層交易代理就會因為這個結果，而執行非你預期的操作，就是一例。