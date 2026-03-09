生成式人工智慧（GenAI）技術的演進速度遠超預期，當前企業導入應用已正式跨越了概念驗證的探索期，邁向全面生產部署的關鍵階段。然而，當企業積極地將大型語言模型（LLM）整合進核心業務流程，甚至開始嘗試部署能自主決策的代理型AI（Agentic AI）時，資安團隊面臨的治理挑戰也隨之升高。

過去以防火牆圍堵邊界、以特徵碼攔截惡意程式的傳統防禦邏輯，在面對由自然語言驅動、高度依賴API串接且行為模式動態多變的AI應用時，容易出現防護邏輯失焦的現象。

無論是員工自行使用外部工具造成的資料外洩，或是攻擊者利用語意邏輯誘導模型偏離既定規範，甚至AI代理在自動化流程中發生越權調用或誤觸授權，都迫使企業必須重新審視基礎架構的防禦縱深，將資安治理的維度從網路層上收到應用層與模型層。

在這波防禦體系調整過程中，F5、Check Point與Palo Alto Networks等資安大廠不約而同地指出，可視性（Visibility）是所有治理的起點，而防禦控制點必須向左移動至開發源頭，同時向右延伸至模型執行階段（Runtime）的即時監控。面對企業內部日益龐雜的API流量與AI代理行為，如何建立一套既能阻斷惡意提示詞攻擊，又能精準管控運算成本與資料流向的現代化資安架構，已成為IT決策者與資安長無法迴避的課題。

透視影子AI風險

AI滲透初期最常見的破口，往往存在於看不見的角落。員工為了提升工作效率，自行將公司機密資料上傳至ChatGPT等公開服務，或是開發團隊在未經核准的情況下呼叫了第三方模型API，這些被稱為「影子AI」（Shadow AI）的行為，正是目前資料外洩的主要破口。

對此，Palo Alto Networks台灣技術總監蕭松瀛分析，企業對於AI的需求已出現明顯分流，資安治理必須同時兼顧員工使用與內部開發兩條路徑。對於一般員工的使用情境，企業最迫切需要的並非全面封鎖，而是精細的流量識別與管控能力。傳統的URL過濾僅能做到網站層級的阻擋，無法解析員工究竟是在進行文字對話、生成圖片，還是在上傳原始碼。透過將流量導向具備內容識別能力的次世代防火牆（NGFW）或安全存取服務邊緣（SASE）平台，企業才能在加密流量中解析出具體的應用行為，並實施「允許使用但限制高風險動作」的策略。蕭松瀛強調，具備上下文感知的資料外洩防護（DLP）機制，能在員工試圖貼上信用卡號或機密文件時即時阻斷，將影子AI轉化為可被稽核的資產。

F5 Networks台灣區總經理林志方則從基礎架構的角度切入，指出API已成為AI工作流程的主要骨幹，所有的推理流量、資料存取與模型互動，最終都體現為API的呼叫與回應。在多雲與混合雲並存的環境下，單一系統的異常往往會透過API的相依關係被放大。若缺乏平台化的統一治理視角，企業將難以察覺隱藏在API流量中的異常模式。F5所倡導的應用交付與資安平台（ADSP），正是為了在第七層（L7）掌握流量全貌，無論是地端、公有雲或SaaS服務，都能透過單一控制平面實施一致的資安政策。

自動化護欄攔截語意攻擊指令

而在面對更為複雜的AI代理（AI Agent）溝通時，Check Point資安傳教士楊敦凱特別點出，新一代的防火牆必須具備AI流量的能力。當AI代理開始自主查詢資料庫或呼叫功能時，這些流量在傳統設備眼中可能只是雜亂的網路封包，但在具備AI識別能力的閘道器上，可具體盤點出內部的AI行為路徑，把政策控管與稽核責任拉回可操作的治理範圍。

可視性建立後，隨之而來的挑戰是如何防禦針對LLM的新型態攻擊。與傳統利用漏洞或惡意程式碼的攻擊不同，針對AI的攻擊往往利用提示詞注入、越獄等手法，透過精心設計的語意邏輯欺騙模型，使其忽略安全限制，進而洩露機敏資訊或執行違規指令。

楊敦凱指出，為了填補這塊防禦拼圖，Check Point整合了專注於AI安全的新創技術Lakera。這套防護引擎背後擁有來自全球紅隊演練遊戲「Gandalf」的龐大攻擊資料，累積了人類玩家千方百計繞過AI防禦的真實樣本。這使得Lakera具備極高準確度的語意分析能力，能在50毫秒內的極低延遲下，識別出隱藏在複雜對話或文件中的惡意意圖。楊敦凱強調，這種「以AI對抗AI」的機制，既能作為API嵌入在企業自建的工作流程中，也能與WAF深度整合，在訊息進入LLM之前進行攔截，並在LLM產出回應後再次檢查是否夾帶敏感資訊，形成雙向的即時防護。

同樣關注Runtime防護的Palo Alto Networks，則提出了更具成本效益的觀點。蕭松瀛表示，當攻擊者利用自動化腳本發送大量惡意請求以耗盡企業的運算資源（Token）時，如果防禦機制是在模型生成回應後才介入，企業實際上已經為這些攻擊支付了昂貴的算力成本。因此，Palo Alto Networks的Prisma AIRS平台採用中介閘道架構，將控制點前移至請求入口。所有的提示詞在抵達後端模型前，都會先經過AIRS的即時檢測，一旦識別出惡意意圖或異常流量特徵，便直接在閘道端阻斷。

F5則提出了AI Guardrails（AI護欄）的概念，作為部署在應用與大語言模型之間的安全中介層。F5 Networks台灣區資深技術顧問陳廣融說明，AI Guardrails能解析標準化的LLM API格式，將提示詞與回應內容抽取後交由掃描引擎檢測。這種機制不僅能防止模型幻覺與資料外洩，更能配合F5 ADSP平台導入的AI Red Team機制，透過自動化模擬攻擊主動挖掘潛在弱點，並將發現回饋至護欄規則中，形成持續演進的防護迴路。

AI安全不宜只被視為外掛式配件，更需要內建為基礎設施的一部分。唯有建立起從開發源頭到執行階段監控、從API流量可視到語意邏輯分析的完整防護體系，才有機會在提升效率的同時，確保數位資產與營運韌性不受威脅。