安全展望｜35%企業將資料輸入AI存外洩風險　2026五大網安挑戰

香港網絡安全事故協調中心（HKCERT）發表年度「香港網絡安全展望 2026」，指隨著人工智能（AI）技術迅速普及，網絡攻擊變得更具破壞力，威脅企業營運。去年本港錄得 15,877 宗網安事故，按年升 27%，創歷年新高。報告預測 2026 年將有五大網絡安全風險浮現，主要分為 AI 應用及供應鏈風險兩大類。

香港生產力促進局（生產力局）轄下香港網絡安全事故協調中心（HKCERT）同時發表「香港企業網絡安全現況」研究結果，分析本地企業在面對網絡風險時的防禦能力與資源配置現況。是次研究涵蓋 622 間企業（包括 544 間中小企及 78 間大企業），並訪問 50 間網絡安全服務供應商，評估本地企業選擇網絡安全服務時的重要因素。

研究顯示，七成企業有設網絡安全人手，反映本地企業對網絡防禦的重視程度逐步提升。當中不少中小企亦已著手加強保安部署，展現積極應對威脅的意識，惟在技術應用層面及資源投放方面，與大型企業相比仍存在一定差距。另外，35% 使用 AI 的企業表示，會輸入公司資料至 AI 工具，顯示本地整體防禦能力及 AI 管治意識，仍有提升空間。

2025 年網安事故概況：

根據 HKCERT 最新統計，2025 年共錄得 15,877 宗網安事故，其中網絡釣魚攻擊持續成為最主要的威脅來源，佔整體事故近六成（57%）。由於生成式 AI 令釣魚訊息更具真實感，亦更難辨識，進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至社交媒體或即時通訊平台（如WhatsApp）（34%）、加密貨幣平台（18%）等。

同時，易受攻擊系統的個案亦顯著增加（2,328 宗，佔整體事故 15%），較去年上升超過 3.5 倍，顯示系統配置錯誤及未及時修補漏洞，已形成網絡安全缺口。殭屍網絡（Botnet）個案則與去年相約（18%），雖然呈不變趨勢，但殭屍網絡本身極難徹底清除，是長期潛伏的威脅來源。

2026 年五大網絡安全風險

根據行業專家分析及生產力局對本地企業環境的持續研究，綜合業界趨勢與技術發展，HKCERT 預測以下五大網絡安全風險將於 2026 年對企業構成重大挑戰：

一、AI 驅動的網絡攻擊與代理式AI風險（Agentic AI）

隨着 AI 技術日益進步，黑客亦開始利用 AI 進行更高階的攻擊。尤其是具備自主學習與執行能力的代理式 AI，能夠在無需人手介入的情況下自行判斷並採取實際行動，一旦被黑客入侵，將自動執行潛在惡意指令，令攻擊更難預測與防範。

二、企業 AI 規管薄弱加劇資料外洩影響

在缺乏內部 AI 管治框架的情況下，企業敏感資料（如客戶資訊、合約內容等）可能因員工誤用公共 AI 平台而外洩。常見情況包括：員工使用未經授權工具，且對平台隱私聲明理解不足，誤判資料安全性，繼而輸入敏感內容，造成實際洩漏。

三、供應鏈漏洞及第三方安全缺口

企業在業務過程中愈來愈依賴外判服務及第三方平台處理業務流程，然而當這些合作夥伴遭受網絡攻擊或安全系統有漏洞時，亦會嚴重影響企業的網絡安全。即使企業本身的防禦措施完善，也可能因合作方出現漏洞而間接受害。

四、過度依賴雲端基礎設施導致單一故障點

雲端平台已成為企業日常營運的基礎設施，包括資料儲存、應用部署、通訊及備份等。然而，過度依賴單一雲端供應商而缺乏備援方案，將令企業在遇上平台故障或供應商中斷服務時無法運作。

五、具 AI 功能設備的新興威脅

隨着智能設備（如語音助理、辦公或客服機械人等）廣泛應用於營運環節，這些具 AI 功能的設備開始暴露出潛在的安全風險。這些設備通常會配置大型語言模型以協助理解與解析人類指令。

然而，隨著大型語言模型被嵌入實體系統，其原本存在於數字環境中的安全漏洞，也可能進一步延伸並影響現實世界。若缺乏嚴謹的驗證機制，極易受到錯誤指令或語音欺騙影響，而執行危險動作。

近三成企業仍無人手負責網安

「香港企業網絡安全現況」結果顯示，超過七成（71%）企業有設立網安人員，反映整體對網安工作的重視程度正逐步提升。按企業規模劃分，67% 中小企有員工負責網絡安全，而大企則有超過九成（95%）。其中，26% 中小企設有專職網安人員，與大企業的 59% 相比仍有差距，反映不同規模企業在資源配置與專業支援方面存在不同挑戰。

不少中小企已部署基本防護措施，例如有 48% 中小企採用電郵保安方案，但相比大企業的 79%，仍有進一步提升空間。至於特權存取管理（PAM）方面，中小企的採用率為 29%，亦低於大企業的 60%。進階防護技術如資料保護措施（中小企 39%，大企 72%）方面，亦反映中小企在推動技術升級方面仍需支援，尤其在數據安全日益重要的今天，大中小企的防護同樣不可忽視。

在資源投放方面，雖然中小企整體投入較為審慎，但已有部分企業逐步加強網安投資與培訓。過去一年，13% 的中小企增加了網安相關資源（人手、設備等），而在網安培訓方面，亦有 12% 的中小企加大投入。相對而言，大企業的比例分別為 41% 及 50%。

展望未來 12 個月，中小企在增聘網安人手（中小企 5%，大企 15%）、培訓（中小企 13%，大企38%）、預算（中小企 13%，大企 36%）等方面的規劃較為保守，但隨着威脅形勢演變，相信企業將逐步提升相關投入，以強化整體防禦能力。

HKCERT 五大建議：助企業建立有效網安防禦機制

HKCERT 提出五項建議，涵蓋政策制定、技術實施及員工參與三大範疇，協助企業建立全面防禦機制﹕

指派人手負責網安﹕企業應指派具備基本網安知識的員工負責日常監察與應變工作，有清晰職責分工，確保能及時應對突發情況。

推行AI治理及規範﹕隨着AI工具及第三方平台的應用日益普及，企業應制定相關政策與操作指引，清楚列明可使用的工具、資料輸入範圍，以及供應商出現事故時的應變流程，降低技術應用帶來的營運風險。

全體員工共同合作防範釣魚攻擊：企業應同時採取技術措施（如電郵過濾、多重認證）與全員參與的安全文化，共同防範釣魚攻擊，提升每位員工辨識可疑郵件與連結的能力，減少資料外洩風險。

提高全體員工網安意識﹕網絡安全是全體員工的共同責任。企業應定期為各部門提供針對性的安全培訓，特別是涉及敏感數據的崗位，並透過模擬演練與實例學習，加強應變能力，降低人為錯誤。

強化技術保護措施﹕企業應落實關鍵的網絡安全技術，包括：
1．電郵保安與存取權限管控
2．資料保護措施（如加密與備份）
3．遠端存取保安機制（如VPN、身份驗證）
4．主動式安全方案（如入侵偵測、防火牆監控）

同時應定期進行滲透測試與風險評估，涵蓋供應鏈合作夥伴、外判系統及業務平台，持續強化整體防禦能力。

生產力局首席數碼總監黎少斌先生表示，AI 技術普及可以推動創新，但亦可成為黑客的利器，使網絡威脅更趨隱蔽且規模更大。報告顯示，企業在使用 AI 工具方面普遍缺乏清晰規範，特別是中小企在資源和認知上的限制，令他們未必充分了解當中潛在風險。

此外，他指供應鏈攻擊已成為企業安全防線中最脆弱的一環，即使企業本身的防護措施完善，單一合作方的漏洞足以引發連鎖危機。「面對這些挑戰，企業必須從被動應對轉向主動部署，著手制定明確的 AI 使用規範與審核機制，深度整合至企業的整體網絡安全策略之中。」