生成式AI(GenAI)的發展已經不再僅是提升生產力的輔助工具,而是迅速演進為具備自主執行能力的代理程式(AI Agent)。這種轉變為企業營運帶來龐大潛力的同時,也把攻擊面擴張到前所未見的寬廣,讓資安挑戰更加嚴峻。
CyberArk實驗室網路安全研究總監Gal Zror指出,生成式AI能扮演資安防護的輔助力量,但也可能成為駭客攻擊的新載體與目標。從大型語言模型(LLM)到AI代理的演進過程,伴隨而來的是高度複雜且難以預測的風險類型,而這些風險對身分與權限控管的要求,遠遠超過以往任何技術世代。
出AI應用平台CORA AI,以平台化方式實踐AI整合戰略。CORA AI不僅為現有的身分安全方案注入AI能力,更將智慧化分析與自動化運行融入至整個平台,協助企業進行風險識別、資安決策與存取控管。Zror強調,「我們的目標並非單純加速產品功能,而是要讓整個平台成為AI驅動的安全防線。」
然而,當CyberArk內部的白帽駭客團隊展開對生成式AI的風險研究時,卻揭露了一連串令人警惕的現象,也成為CyberArk投入保護AI的濫觴。Zror回顧,最早的發現可追溯至2023年初,研究人員辨識到一種新型態惡意程式,能透過AI即時生成不斷變化的程式碼,以繞過傳統偵測機制。這種隱匿性攻擊顯示,惡意軟體已經開始運用生成式AI來掩蓋滲透行為,大幅縮短攻擊準備期,並提升成功率。
生成式AI帶來新型攻擊向量
自2024年起,CyberArk將研究焦點轉向針對LLM模型本體的攻擊模式,並成功研發出他譬喻為「AI腦部掃描」(MRI for AI)的分析技術,能深入觀察開源語言模型在面對不同提示詞(Prompt)時的反應機制。這類攻擊多半仰賴「越獄」(Jailbreak)手法,透過精心設計的輸入誘導模型產生違規或惡意回應。Zror坦言,「目前仍缺乏完整理論能解釋LLM為何會在特定攻擊下出現錯誤反應,大多數攻擊仍處於嘗試與修正的探索階段。」
CyberArk實驗室網路安全研究總監Gal Zror建議,改以「身分」為核心設計AI代理的防護架構,包括明確識別代理的任務目標、動態授予與撤銷權限,並監控其操作範疇與異常行為,有助於控管潛在風險。
透過MRI分析方法,研究人員得以建立模型反應行為的可視化基礎,進而辨識不同攻擊手法可能觸發的弱點。Zror補充:「僅靠保護提示詞並不足以因應AI所帶來的全方位風險,真正的防禦必須著眼於更深層的治理機制。」
進入2025年,生成式AI的應用逐漸走向Agent化,出現能夠自主執行任務的AI代理。Zror分析,AI代理的特點在於能代表自身執行操作,亦可能代理使用者進行跨平台存取,這種模糊的人機邊界對傳統身分與存取管理(Identity and Access Management,IAM)架構構成前所未有的挑戰。他強調,「保護AI代理必須從『意圖』(Intent)出發,釐清其任務目標,僅提供所需特權,並在任務完成後立即收回。」
CyberArk將此挑戰定位為「身分安全的延伸」,主張企業必須針對AI代理建立動態權限控管與行為監控架構,並透過閘道代理機制進行即時分析與阻擋。Zror指出,企業導入AI代理時,必須把握三大控制關鍵:確認代理身分、辨識其執行意圖,以及嚴格限制操作範疇,唯有如此,才能有效避免權限外溢、存取濫用與惡意命令執行。
防禦重心轉向身分治理
隨著AI代理快速普及,市場上逐漸出現以傳統邊界防禦思維延伸出的新方案,例如AI防火牆。其基本原理是透過檢查與過濾進出模型的提示詞,攔截潛在惡意輸入。然而,Zror直言,這種方式存在根本性缺陷。傳統規則式(Rule-based)邏輯難以應對語義空間中充滿模糊性與上下文依賴的特質,攻擊者可透過複雜語義技巧輕易繞過過濾機制。CyberArk的研究亦證明,即使在最嚴密的提示詞防護下,模型仍可能被繞過並誤導。
因此,真正的解決之道並非專注於「輸入內容」的防禦,而是提升對「行動實體」的治理能力。這正是「身分安全」的核心價值所在。CyberArk提出的防禦理念,是以零信任(Zero Trust)為基礎,針對AI代理生命週期設計的動態存取控制模型。其核心包含四個環節:意圖驗證(Intent Verification)、即時授權(Just-in-Time Provisioning)、最小權限原則(Principle of Least Privilege)、以及即時撤銷(Immediate Revocation)。透過這個閉環機制,確保代理所有行為皆在符合意圖的嚴格權限框架下進行。
Zror舉例,開發者群組近期遭遇的惡意MCP伺服器攻擊便是明證。此攻擊鏈將惡意指令巧妙封裝於看似合法的開發流程中,使傳統流量過濾與提示詞審查完全失效。然而,若在身分安全框架下,當代理嘗試執行與其「輔助生成程式碼」意圖不符的高風險操作時,異常行為即可被即時攔截,有效阻斷攻擊鏈。
隨著AI代理數量呈爆炸性增長,手動管理已不可行。建立集中化的身分治理平台,透過自動化策略掌控所有AI代理的生命週期,將成為企業不可避免的選擇。展望未來,Zror指出,量子運算(Quantum Computing)對現有密碼學體系的衝擊,已讓「先竊取、後解密」的攻擊模式成為現實威脅。從AI代理的治理,到抗量子加密的轉型,最終都指向一個核心:數位世界的控制權,正從「邊界防禦」轉移至「身分治理」。在這場全新的資安戰爭中,「身分」將是唯一且最關鍵的戰略制高點。