生成式人工智慧(GenAI)技術的演進速度遠超預期,當前企業導入應用已正式跨越了概念驗證的探索期,邁向全面生產部署的關鍵階段。然而,當企業積極地將大型語言模型(LLM)整合進核心業務流程,甚至開始嘗試部署能自主決策的代理型AI(Agentic AI)時,資安團隊面臨的治理挑戰也隨之升高。
過去以防火牆圍堵邊界、以特徵碼攔截惡意程式的傳統防禦邏輯,在面對由自然語言驅動、高度依賴API串接且行為模式動態多變的AI應用時,容易出現防護邏輯失焦的現象。
無論是員工自行使用外部工具造成的資料外洩,或是攻擊者利用語意邏輯誘導模型偏離既定規範,甚至AI代理在自動化流程中發生越權調用或誤觸授權,都迫使企業必須重新審視基礎架構的防禦縱深,將資安治理的維度從網路層上收到應用層與模型層。
在這波防禦體系調整過程中,F5、Check Point與Palo Alto Networks等資安大廠不約而同地指出,可視性(Visibility)是所有治理的起點,而防禦控制點必須向左移動至開發源頭,同時向右延伸至模型執行階段(Runtime)的即時監控。面對企業內部日益龐雜的API流量與AI代理行為,如何建立一套既能阻斷惡意提示詞攻擊,又能精準管控運算成本與資料流向的現代化資安架構,已成為IT決策者與資安長無法迴避的課題。
透視影子AI風險
AI滲透初期最常見的破口,往往存在於看不見的角落。員工為了提升工作效率,自行將公司機密資料上傳至ChatGPT等公開服務,或是開發團隊在未經核准的情況下呼叫了第三方模型API,這些被稱為「影子AI」(Shadow AI)的行為,正是目前資料外洩的主要破口。
對此,Palo Alto Networks台灣技術總監蕭松瀛分析,企業對於AI的需求已出現明顯分流,資安治理必須同時兼顧員工使用與內部開發兩條路徑。對於一般員工的使用情境,企業最迫切需要的並非全面封鎖,而是精細的流量識別與管控能力。傳統的URL過濾僅能做到網站層級的阻擋,無法解析員工究竟是在進行文字對話、生成圖片,還是在上傳原始碼。透過將流量導向具備內容識別能力的次世代防火牆(NGFW)或安全存取服務邊緣(SASE)平台,企業才能在加密流量中解析出具體的應用行為,並實施「允許使用但限制高風險動作」的策略。蕭松瀛強調,具備上下文感知的資料外洩防護(DLP)機制,能在員工試圖貼上信用卡號或機密文件時即時阻斷,將影子AI轉化為可被稽核的資產。
F5 Networks台灣區總經理林志方則從基礎架構的角度切入,指出API已成為AI工作流程的主要骨幹,所有的推理流量、資料存取與模型互動,最終都體現為API的呼叫與回應。在多雲與混合雲並存的環境下,單一系統的異常往往會透過API的相依關係被放大。若缺乏平台化的統一治理視角,企業將難以察覺隱藏在API流量中的異常模式。F5所倡導的應用交付與資安平台(ADSP),正是為了在第七層(L7)掌握流量全貌,無論是地端、公有雲或SaaS服務,都能透過單一控制平面實施一致的資安政策。
自動化護欄攔截語意攻擊指令
而在面對更為複雜的AI代理(AI Agent)溝通時,Check Point資安傳教士楊敦凱特別點出,新一代的防火牆必須具備AI流量的能力。當AI代理開始自主查詢資料庫或呼叫功能時,這些流量在傳統設備眼中可能只是雜亂的網路封包,但在具備AI識別能力的閘道器上,可具體盤點出內部的AI行為路徑,把政策控管與稽核責任拉回可操作的治理範圍。
可視性建立後,隨之而來的挑戰是如何防禦針對LLM的新型態攻擊。與傳統利用漏洞或惡意程式碼的攻擊不同,針對AI的攻擊往往利用提示詞注入、越獄等手法,透過精心設計的語意邏輯欺騙模型,使其忽略安全限制,進而洩露機敏資訊或執行違規指令。
楊敦凱指出,為了填補這塊防禦拼圖,Check Point整合了專注於AI安全的新創技術Lakera。這套防護引擎背後擁有來自全球紅隊演練遊戲「Gandalf」的龐大攻擊資料,累積了人類玩家千方百計繞過AI防禦的真實樣本。這使得Lakera具備極高準確度的語意分析能力,能在50毫秒內的極低延遲下,識別出隱藏在複雜對話或文件中的惡意意圖。楊敦凱強調,這種「以AI對抗AI」的機制,既能作為API嵌入在企業自建的工作流程中,也能與WAF深度整合,在訊息進入LLM之前進行攔截,並在LLM產出回應後再次檢查是否夾帶敏感資訊,形成雙向的即時防護。
同樣關注Runtime防護的Palo Alto Networks,則提出了更具成本效益的觀點。蕭松瀛表示,當攻擊者利用自動化腳本發送大量惡意請求以耗盡企業的運算資源(Token)時,如果防禦機制是在模型生成回應後才介入,企業實際上已經為這些攻擊支付了昂貴的算力成本。因此,Palo Alto Networks的Prisma AIRS平台採用中介閘道架構,將控制點前移至請求入口。所有的提示詞在抵達後端模型前,都會先經過AIRS的即時檢測,一旦識別出惡意意圖或異常流量特徵,便直接在閘道端阻斷。
F5則提出了AI Guardrails(AI護欄)的概念,作為部署在應用與大語言模型之間的安全中介層。F5 Networks台灣區資深技術顧問陳廣融說明,AI Guardrails能解析標準化的LLM API格式,將提示詞與回應內容抽取後交由掃描引擎檢測。這種機制不僅能防止模型幻覺與資料外洩,更能配合F5 ADSP平台導入的AI Red Team機制,透過自動化模擬攻擊主動挖掘潛在弱點,並將發現回饋至護欄規則中,形成持續演進的防護迴路。
AI安全不宜只被視為外掛式配件,更需要內建為基礎設施的一部分。唯有建立起從開發源頭到執行階段監控、從API流量可視到語意邏輯分析的完整防護體系,才有機會在提升效率的同時,確保數位資產與營運韌性不受威脅。