黑客新伙伴｜六大AI新興網絡攻擊手法　附應對招數

人工智能（AI）技術被廣泛應用，同時也被黑客迅速「武器化」，令網絡攻擊防禦難度急速上升，單靠人力已難招架。香港網絡安全事故協調中心（HKCERT）最新揭示六大 AI 協助攻擊手法，呼籲企業與市民高度警覺，並提醒防禦策略也需進化。

HKCERT 已引入 AI 工具進行威脅偵測，截止今年 8 月共完成 35 億次掃描，成功識別多個可疑網站，這表明同步提升防禦意識與技術，才能有效應對 AI 武器化帶來的全新挑戰。

一、代理式AI所帶來最新風險

近期，Agentic AI 的快速發展，帶來新的網絡安全風險。這種 AI 不再只是被動回應的聊天機器人，而是能主動操作電腦系統，執行更複雜任務。以往要多人協力才能發動的精密網絡攻擊，現在可能只需一名黑客，就能指揮多個 Agentic AI 自動完成。

此外，許多廠商也開始將 Agentic AI 整合至瀏覽器中，用戶只需透過對話介面，就能指示 AI 代為完成各種操作，例如訂餐廳或網購日常用品。然而，這類具自主行動能力的 AI 瀏覽器，近期被發現一項安全漏洞：惡意網站可能透過隱藏指令，在用戶不知情的狀況下操控 AI 執行非預期的操作。舉例來說，AI 可能會擅自開啟電子郵件收取驗證碼，並將資料上傳到外部網站。

HKCERT 建議：機構及用戶都需繼續保持警揚，提升保安意識應對更複雜攻擊。而 Agentic AI 在應用層面仍需加入更多安全機制，以防止其執行超出用戶授權的行為。然而，由於具備自主代理功能的 AI 瀏覽器仍屬發展中技術，HKCERT 建議用戶，使用 AI 瀏覽器處理敏感資料或交易時，可檢視其操作步驟，或避免將電郵、個人資料或信用卡資料連結至瀏覽器。

二、AI 破解驗證碼

登入網站除了輸入帳號和密碼，常被要求輸入圖形驗證碼，以區分真人用戶與自動化程式。驗證碼可能是扭曲的英文數字，或是在多張圖片中選出特定類別的圖像。如今，只需將驗證碼圖片上傳至 AI 系統，AI 便能迅速且準確地回覆。這意味著黑客可以透過撰寫 AI 程式，讓其協助繞過傳統驗證碼，令驗證碼保護網站的功能如同虛設。

HKCERT 建議：對於仍採用傳統驗證碼的網站，建議系統管理員考慮升級至互動式驗證碼或行為檢測式驗證以提升安全性，減少被自動化攻擊入侵的風險。

三、AI 網頁分析及攻擊輔助

黑客經常在網上搜尋各類登入頁面，並嘗試以暴力破解方式取得帳號及密碼，進而發動滲透攻擊。如今在 AI 技術協助下，從尋找登入頁面到執行暴力破解的整個流程，部分工作已可交由 AI 自動完成。事實上，已有資安研究人員開發並公開了能利用 AI 進行滲透攻擊的工具。預期黑客也將迅速跟進，開發出更高效、更自動化的攻擊工具。

HKCERT 建議：網站管理員加強安全檢查，嚴格執行安全密碼政策（如多重認證），並定期檢視系統日誌，分析可疑活動，及時修補安全漏洞，降低被黑客利用的風險。

四、AI 時代的分散式阻斷服務攻擊（DDoS）攻防

在 A I時代以前，DDoS 攻擊主要依靠壓倒性的網絡流量來癱瘓目標網絡，屬於一種「暴力式」的攻擊。然而，隨著 AI 時代來臨，黑客開始開發出新型的 AI 攻擊工具，能即時監測攻擊效果，並根據防守策略（如流量限制）自動調整，轉而攻擊其他弱點。這些工具甚至能模擬人類使用者的操作行為，藉此騙過傳統的防禦機制。未來，DDoS 攻擊不再只追求流量規模，更強調準確與靈活，目標是以最少的流量造成最大的破壞。

面對這種新型威脅，網絡安全開發者也積極運用 AI 技術，以「以子之矛，攻子之盾」的方式應對。他們利用歷史流量數據、過往攻擊模式及威脅情報來訓練 AI 模型，使其能夠即時分析網絡流量，自動回應攻擊並動態調整防禦策略。這些 AI 模型還會持續收集流量數據，不斷自我微調與學習，隨著時間推進變得更加精準。

HKCERT 建議：在 AI 驅動的時代，DDoS 攻擊將更加即時與複雜，網絡管理者應持續關注最新攻擊趨勢，定期更新威脅情報，並考慮部署具備 AI 功能的網絡防護系統，以應對未來以 AI 為主導的新型攻擊挑戰。

五、AI 驅動勒索軟件

近期，某大學學術研究團隊成功編寫了一個 AI 勒索軟件的雛型，即時連接至大型語言模型，利用預設提示詞（Prompt）即場生成攻擊程式碼並執行。該研究意味 AI 勒索軟件能根據不同機構的系統架構、網絡環境及保安防護程度等，自動進行客製化，令防禦難度和受影響程度大增。

HKCERT 建議：市民切勿隨意下載或執行來源不明的檔案或程式，及應安裝防毒軟件或網絡安全應用程式並定期更新。

六、AI 製作釣魚網站

AI 網頁開發技術日益成熟，用戶只需提供適當提示詞，便能生成美觀且功能正常的網站。對黑客而言，他們可利用 AI 工具複製正規網站頁面，稍作修改後便能製作出高度仿真的釣魚網站。可以預計釣魚詐騙的攻擊將會持續增加，而且更難單靠網頁內容來斷定真偽。

HKCERT 建議：市民瀏覽網站時務必檢查網址真偽，若有疑慮，切勿向可疑網站輸入任何個人或敏感資料。