當工作者大量用Vibe Coding,對企業是生產力美夢?還是隱含風險的噩夢?中華電信統計,全台30萬家企業高達66%的員工,在公司內部網路直接使用AI工具。然而,若員工為求效率,輕易繞過嚴格的IT規範,私下串接未經授權的AI Agent,或將公司機密資料餵給外部大語言模型,防不勝防的影子AI(Shadow AI)正悄然侵蝕企業防護邊界。中華電信在2026資安大會剖析,企業應朝向3大資安治理的思維升級,方能在AI時代兼顧創新與韌性。
思維升級一:人工審查已不夠力!AI審查AI化解技術債
Vibe Coding正在翻轉企業的軟體生命週期,為何這樣說?中華電信資訊技術分公司資訊安全應用處吳明峰指出,當前工程師陷入高壓的開發競賽,以2026年初Apple App Store為例,新應用程式的發行量暴增50%。隨著程式碼提交量呈現指數攀升,傳統仰賴人工做程式碼審查與弱點掃描的速度,早已跟不上開發腳步。這種求快的敏捷開發,反而讓企業無形中累積資安技術債。
所謂資安技術債,正是為了讓應用加速上線,讓未經完整檢核的程式碼直接投入生產環境,所遺留下的潛在漏洞。因此,企業必須重構開發流程,導入「用AI審查AI」的自動化機制來填補人工審查的時間差。吳明峰舉例,目前正在試行一套ChainStrike AI的驗證閘門,利用大語言模型模擬資深資安工程師的攻擊鏈與思路,自動執行白箱分析與滲透測試。用以快速對抗網路上高速增加的AI滲透攻擊。
吳明峰也提醒,撰寫程式與負責審查的AI代理人,必須採用兩套不同模型思路。若用同一模型審查自身成果,AI容易有「自己的程式碼寫超棒」盲點。他建議企業可透過不同模型互相制衡(例如用 Codex / Cursor來審查 Claude Code 生成的程式碼),以「上帝視角」抽離既有的開發邏輯,才能細緻揪出漏洞。如此一來,資安團隊不再是拖慢開發的絆腳石,而是讓系統安全上線的加速器。
思維升級二:企業資安從「管人」變成「管AI的權限」
過去企業資安的防守邏輯,多半聚焦於確認登入系統的「人」是誰,並保護好給人操作的程式介面;但在AI代理爆發的不久將來,此基礎將被徹底顛覆。吳明峰解釋,未來的SaaS服務與應用程式,將從人類點擊介面設計概念,轉變為Agent to Agent之間透過API、CLI(命令列介面)與JSON 格式進行自動化溝通。這代表什麼?企業資安防護標的,必須從傳統的網頁防護(WAF),轉移到API的傳輸安全及Agent的防護。
換言之,當系統操作者從「人」變成「人+Agent」的協作模式,企業內部的身份與存取管理模式也將解構。吳明峰建議首要行動是釐清AI代理人的授權邊界,「你必須讓Agent知道授權給它的人是誰?而且要規範Agent絕對不能超越該權限去做不該做的事。」當AI助理觸及核心系統或機密資料,企業除了嚴格落實一次性授權機制,更要建立分層、分時的動態管控。
另一該警惕的是,根據2026年最新發布的OWASP代理式應用十大安全風險,現在攻擊者能透過污染記憶上下文誘導Agent執行惡意指令。換言之,企業的機密不侷限於業務檔案或財報內容,員工輸入的Prompt、對話的上下文、供給AI學習的RAG索引資料,皆可能成為資料外洩的破口。必須將防護視角升級到Agent治理,企業才能守住核心的營運資產。
思維升級三:當心軟體供應鏈藏毒!多模型強化營運韌性
隨著AI成為企業的基礎設施,營運持續計畫也該跟著進化。吳明峰舉例,多數企業導入AI常犯的戰略錯誤,就是單壓單一模型。先前就發生某大語言模型曾在一個月內發生高達46次服務中斷,導致企業用戶的日常業務被迫停擺。這意味著,若公司的生產力綁定於單一AI供應商,一旦發生意外,企業營運將全面癱瘓。因此,部署具備高度韌性的多模型協作架構以分散風險,是多數台灣企業的當務之急。
除了防當機,更多的威脅是隱藏在看不見的底層供應鏈。如果把大型AI語言模型比擬成一顆超跑引擎,要讓它安全上路,企業必須打造一套具備控制中樞概念的煞車與方向盤系統,用來規範AI的行為與存取權限。然而有時為了求快,工程師會大量拼湊免費的第三方開源軟體來打造煞車系統。此舉等於讓駭客不用直接攻擊AI模型,而是針對底層的開源軟體下手;一旦套件遭駭,整台AI超跑就會失控,成為軟體供應鏈的隱形弱點。
上述的災情其實在業界就曾發生過。吳明峰舉例,AI代理中間人(Gateway)的開源套件LiteLLM就曾遭駭客入侵,導致企業內部的環境變數與金鑰直接外洩;全球高下載量的套件Axios也被假冒並植入惡意程式;甚至連Claude Code曾因發布設定錯誤,讓核心架構與四十多種工具機制的原始碼,全數外洩到開源平台。種種情況提醒企業決策者,未來採購SaaS服務或導入AI工具鏈的時候,不能只看模型是否夠聰明,更要深入審核其底層套件與控制中樞的供應鏈安全。
為了協助企業將資安焦慮轉變為實質防禦力,中華電信持續深化AI防護量能,並淬鍊成多項商用資安服務。例如運用AI主動辨識異常網域、防堵品牌遭冒用的「防詐守衛服務」;以AI作為信任推斷核心,精準掌握設備風險的「零信任網路系統(xTrust)」;以及自動判讀雲端資產漏洞、提升維運決策效率的「雲端資安弱點檢測」與透過AI分析網路行為,自動辨識仿冒與未知威脅,即時預警防止惡意連線與勒索軟體入侵的「AI威脅獵捕技術」等。藉由持續更新相關實戰武器,中華電信希望成為企業客戶最安穩的防護後盾。
立足AI高速發展的時代,面對瞬息萬變的新模型與自動化攻擊手法,企業若還停留在建防火牆、管理帳號的舊想法,終將承受極大的營運風險。事實上,資安已從過去被動防守的合規輔助角色,躍升為企業在AI戰局中奠基競爭力的關鍵支持者。唯有擁抱主動式防禦思維,企業方能在這場AI賽局穩步前行,不讓資安漏洞拉高營運賠率,而是成為贏得商業籌碼的勝率。
