趨勢科技深入研究了具備執行程式碼、上傳文件以及存取網際網路能力的大型語言模型 (LLM) 驅動的 AI 代理所存在的漏洞。這是一系列深入揭發 AI 代理漏洞的第二篇文章。
LLM 服務有可能變成網路攻擊的入口嗎?可不可能被挾持用來執行有害的指令?有沒有可能被 Microsoft Office 文件中暗藏的指令所騙而洩漏敏感的資料?駭客能不能篡改資料庫查詢來取得管制的資訊?
這些都是 AI 代理今日面臨的一些基本問題。本系列文章討論 AI 代理的重大漏洞,深入揭發其看似聰明的回應底下所潛藏的威脅。
本文是一系列探討 AI 代理(AI Agent)漏洞的第一篇文章,除了點出一些關鍵的資安風險 (如:提示注入與程式碼執行) 之外,也預告一些後續文章即將深入討論的問題,例如:程式碼執行漏洞、資料外傳,以及資料庫存取威脅。
大型語言模型 (LLM) 服務有可能變成網路攻擊的閘道口嗎?可執行程式碼的 LLM 有可能被挾持用來執行有害指令嗎?Microsoft Office 文件中暗藏的指令能不能騙過 AI 代理(AI Agent),讓 AI 代理洩漏敏感的資料?駭客有多容易篡改資料庫查詢敘述來取得管制的資訊?
這些都是 AI 代理今日面臨的一些基本資安問題。本系列文章將探討 AI 代理在看似聰明的回應底下所潛藏的重大漏洞,深入揭發一些迫切需要關注的隱藏威脅。
繼續閱讀【2025年6月3日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)發布一份最新研究註一指出,從認知到攻擊面風險、到採用專業工具來管理這項風險,兩者之間存在著令人擔憂的落差。
閱讀這份趨勢科技最新研究
一份針對全球2,000多名網路資安領導人的研究指出,有73%的企業曾因為不明或未受管理的資產而發生資安事件。隨著生成式AI的大量出現及其伴隨而來更高的複雜性,加上辦公室和員工家中使用的IoT裝置數量不斷成長,這類未受管理的資產數量也正快速增加。
結果就是,有91%的受訪者承認攻擊面管理與其公司的業務風險有直接或部分的關聯。另有一大部分受訪者認知到無法管理暴露在外的資產可能帶來的風險除了立即的資安威脅之外,還可能嚴重危及:
繼續閱讀在網路犯罪的世界裡,俄羅斯網路犯罪地下市場早已是全球最精密、最有影響力的生態系之一。這裡不僅有高度專業化的駭客、先進的攻擊工具,還有嚴密的合作文化,讓網路犯罪不斷推陳出新,影響範圍遍及全球。全球網路犯罪生態正經歷一場重大變革。其中,俄羅斯網路犯罪地下市場與中文網路犯罪圈的合作日益緊密,這不僅擴大了威脅範圍,也使攻擊手法更加多元、隱蔽。
俄烏衝突等地緣政治事件,改變了駭客集團的攻擊目標與運作方式。以往駭客會刻意避開俄羅斯地區,但現在這些地區也成為攻擊目標。此外,網路犯罪已不再侷限於單一地區,跨國合作讓駭客能更靈活地規避執法,並擴大攻擊目標範圍。俄羅斯網路犯罪與中文網路犯罪論壇上,雙方開始交換漏洞資訊、攻擊工具、目標名單等資源,甚至共同策劃攻擊行動。
