謝至恩「AI 會從工具變成員工,再變成工作夥伴,但一個不小心就會變成公司新的內賊。」台灣駭客協會顧問、奧義智慧科技創辦人邱銘彰指出,當企業導入代理式人工智慧 (Agentic AI),AI 不再只是回答問題的輔助工具,而是可能被賦予資料存取、系統操作與流程執行能力的內部角色。一旦這類 AI 代理人缺乏盤點、權限控管與安全測試,就可能成為企業內部新的攻擊面。
生成式 AI 與代理式 AI 快速進入企業營運流程,正在改變傳統資安邊界。台灣駭客協會從駭客與實戰攻防視角,揭示企業在 AI 時代面臨的新型風險與治理盲點,並指出「影子代理人 (Shadow AI)」正成為下一波企業內部資安威脅的核心來源。
Prompt Injection 仍是 LLM 核心風險
邱銘彰表示,AI 本身帶來的新風險屬於 AI Safety 問題,而 Prompt Injection 仍是大型語言模型 (LLM) 與 AI 代理人面臨的核心攻擊手法之一。關鍵在於 LLM 難以真正區分「命令層」與「資料層」的內容。當外部內容、使用者輸入與系統指令混在同一個上下文中,攻擊者就有機會透過提示內容影響模型行為。
在一般聊天情境中,Prompt Injection 可能導致模型產出錯誤資訊、不當內容,或違反原本安全限制;但當 LLM 連接企業文件、 API 、系統權限與自動化流程後,風險就不再只是回答錯誤,而可能升級為資料外洩、權限濫用或惡意流程執行。邱銘彰指出,攻擊者可透過角色扮演、情境誘導、語言轉換或混合語言等方式,繞過模型原有的安全限制,使模型在看似合理的情境中完成不應執行的行為。
他也提醒,模型越大、推理能力越強,未必代表越安全。部分研究顯示,推理模型因為更能理解使用者意圖,在特定攻擊情境下反而可能更容易被誘導,甚至出現更高的攻擊成功率。換言之,企業不能直接預設「更聰明的模型」等同於「更安全的模型」。
邱銘彰也引用研究指出,2026 年 AI 安全事件數量持續上升,其中 Prompt Injection 已成為最主要攻擊手法之一,甚至有高達 86% 的模型缺乏有效防禦能力。
AI Safety 限制仍難涵蓋多語言與代理式操作
邱銘彰指出,現階段許多 AI 開發與導入者仍優先追求功能與效率,安全風險往往未被同步納入設計。即使模型經過安全訓練,相關限制也多半是在模型訓練後期加入,未必能完全覆蓋模型原有能力,更難涵蓋所有語言、語境與攻擊手法。
多語言與混合語言是現有 AI Safety 的一大缺口。邱銘彰提到,若安全微調與測試主要集中在英語,其他語言或混合語言就可能成為攻擊者繞過安全限制的途徑。這也意味著,企業在導入 LLM 時,不能只以單一語言或單一測試情境評估風險,而必須考量實際使用者可能輸入的多語言內容與複雜語境。
代理式 AI 進一步放大這些限制。 AI 代理人不只回答問題,還可能讀取文件、呼叫工具、建立 Skill 、執行流程,甚至在企業系統中完成一連串自動化操作。一旦上下文遭到污染,或載入惡意 Skill,AI 代理人可能在自認正常工作的狀態下執行危險行為。
目前 Agentic AI Security 仍缺乏成熟且普遍採納的安全框架。邱銘彰認為,未來應會出現相關基礎規範與測試方法,但在技術仍快速上升的階段,市場可能要等到重大事件發生後,才會形成共識。
AI 代理人正在弱化企業原有防線
隨著 AI 代理人進入企業,風險也從模型本身延伸到組織治理。邱銘彰指出,為了讓 AI Agent 更強大,企業往往會賦予它更多權限,包括檔案存取、資料讀取、系統操作與流程自動化能力。這些能力雖然能提高效率,卻也可能使企業原本建立的驗證、授權、分權與人工覆核流程被簡化。
AI Agent 在企業中的應用也快速擴張,邱銘彰引用統計指出,相關職位需求一年內成長達 280%,但隨之而來的權限濫用、資料外洩與行為失控風險也顯著增加。
過去企業推動零信任架構,強調身分驗證、權限分割與持續驗證;但在 AI 代理人自動化場景中,企業可能為了讓流程更順暢,而放寬這些限制。當 AI 代理人取得高度權限,又缺乏行為監測、操作紀錄與人工覆核,就可能變成一個看不見的內部帳號,甚至比一般員工帳號更難治理。
台灣駭客協會指出,當企業未建立完整 AI 治理與監測機制時,AI 代理人可能在未被察覺的情況下執行惡意指令、外洩敏感資訊,甚至繞過既有資安防線,形成「影子代理人」。這類影子代理人可能來自員工自行導入的工具、開發流程中的外掛、自動化服務,或尚未被資安團隊掌握的雲端應用。
企業資安問題不只在工具,而在治理思維
台灣駭客協會理事長暨 DEVCORE 執行長翁浩正則從攻防實戰角度指出,AI 並未改變資安本質,而是讓原本需要較長時間的攻擊流程變得更快,使既有問題更容易被發現、被利用。也就是說,企業不是因為 AI 才突然變得不安全,而是原本存在的資產盤點、權限管理、事件應變與資料保護缺口,會在 AI 導入後更快暴露。
翁浩正指出,企業常見盲點包括把合規視為安全、過度依賴單一廠商,以及資安團隊未被納入決策核心。許多企業將預算集中在設備與工具,卻忽略人員判斷、事件應變經驗與跨部門協作能力。例如在真正事故發生時,是否需要升級通報、是否要叫醒 CISO,仍需要具備經驗的人做出判斷。
組織面也是企業導入 AI 後的一大風險。若資安團隊被孤立,未能參與 AI 系統導入、資料串接與流程設計,往往會出現系統即將上線才補做安全評估的情況。這種做法使資安從設計前期的風險控管,退化為上線前的形式檢查,也讓企業難以及時調整架構與權限設計。
翁浩正強調:「資安不是 IT 問題,而是組織治理與文化問題。」
翁浩正也強調,沒有演練過的防禦就是假防禦。企業若只有事件回應流程文件,卻沒有定期演練、檢核與紅隊驗證,實際事件發生時可能無法運作。紅隊測試的目的也不應只是確認是否被打進來,而是讓藍隊變強,並把測試結果納入企業資安治理循環。
影子 AI 盤點成為企業第一道難題
在 AI 代理人風險升高的情況下,企業面臨的第一個問題,是不一定知道內部有哪些 AI 工具正在被使用。影子 AI 可能藏在個人帳號、瀏覽器外掛、開發工具、自動化流程或雲端服務中;當這些工具具備代理式能力,能主動讀取資料、呼叫外部服務或執行指令,風險就會從「工具使用」升級為「代理人治理」。
邱銘彰建議,企業必須先盤點誰在使用 AI 代理人,並從網路 Gateway 、 AI Gateway 與端點偵測建立可視性。透過掌握 AI Query 流向、端點工具特徵與代理式工具使用情況,資安團隊才能知道 AI 工具在哪裡、誰在使用、存取哪些資料,以及是否具備自動化執行能力。
他也指出,AI 系統上線前應進行安全測試,類似傳統資訊系統上線前進行紅隊測試。測試範圍不應只限於功能是否正常,而應包括 Prompt Attack 、資料外洩、權限濫用、惡意 Skill 與 Context 污染等情境。若企業等到 AI 系統即將上線才開始思考防護,往往已經難以在短時間內完成架構調整。
AI 治理必須升級為組織治理
隨著 AI 代理人逐漸進入企業流程,資安治理不能只停留在工具採購或邊界防禦。企業需要重新檢視權限最小化、資料分級、操作紀錄、人工覆核與異常偵測機制,並針對 LLM 與 Agentic AI 重新設計治理方式。傳統的 DLP 或單一防護工具,難以直接解決 AI 代理人帶來的上下文污染、語言繞過與自動化操作風險。
邱銘彰與翁浩正各自表示資安廠商自身對 Agentic AI 導入也相對保守,資安單位在紅隊演練等高風險工作中仍以人工為主,AI 多半只在整理報告等低風險環節提供協助,原因在於資安工作成果不容出錯。這也凸顯企業在導入 AI 代理人時,不能只看效率提升,也必須評估錯誤執行與權限濫用可能造成的後果。
AI 不是神,也不會讓企業一夕之間變得安全或不安全;它真正改變的,是攻擊、利用與擴散的速度。當 AI 代理人從工具變成數位員工,企業資安治理也必須從管理工具,升級為管理內部角色。否則,企業在追求自動化效率的同時,也可能讓新的內部風險悄悄成形。
