回文章列表
資訊顧問
2026-07-08
3 min read
AI 勒索攻擊自動化了?先查你的密碼外洩了沒
資安圈瘋傳「首例 AI 全自動勒索攻擊」,但拆開來看,AI 只是把執行成本壓低,真正的破口還是十年前那個老問題,外洩密碼。企業做 AI 導入前,該先把地基顧好。
- AI自動化勒索攻擊的真相是「省人力」不是「換掉人的智慧
- 真正的破口九成是舊問題:外洩密碼、未修補漏洞、過期權限
- 企業導入AI前該先做資安體質檢查,而不是先追新工具

上禮拜資安圈瘋傳一句話:史上第一次,一場勒索攻擊從頭到尾沒有人類插手,全部交給AI。聽起來很像天網開機,但故事被剪掉一半沒講。AI確實自己破門、偷檔、加密上千筆設定,還能在31秒內修好一次失敗的登入,一路用自然語言寫註解跟自己對話。這段是真的猛,但難的活,全是人幹的。誰挑受害者、誰架C2伺服器、連破門那把資料庫密碼,都是別人先前入侵偷好、直接餵給它的。AI在這裡不是主謀,是接了外包、把腳本跑得又快又乖的工程師。
工具不可怕,被行銷牽著走才要命
我做系統整合這麼多年,學到最貴的一課是:新工具本身很少是問題,問題是大家看到新聞標題就開始腦補劇本。AI沒有降低作惡的意圖,它降的只是執行成本。原本要養一個團隊、花幾週摸索的攻擊流程,現在讓一個代理程式幾小時內跑完。這件事對企業的意義不是「AI駭客要來了」,而是「你原本就該補的洞,現在被攻破的速度變快了」。
真正該檢查的三件事,跟AI沒關係
- 密碼是否重複使用、是否出現在公開外洩清單裡,這是這次事件真正的破口
- 第三方工具與資料庫是否有已知漏洞沒修補,很多企業的Log裡其實早就有預警紀錄
- API金鑰、雲端服務憑證是否定期輪替,而不是設定完就放到天荒地老
我們接過不少企業導入案,九成的資安事故起點都不是什麼高深攻擊手法,是一組員工離職半年還沒停用的帳號,或是測試環境的預設密碼忘了改。AI只是把這些老問題的後果放大、加速,不是製造新問題。
導入AI前,先把地基顧好
很多企業想導入AI客服、AI自動化流程,第一個念頭是選模型、比功能,卻沒人問一句:我們現有系統的權限管理跟入侵偵測夠不夠格撐住這套新工具。這順序顛倒了。系統顧問該做的第一件事,從來不是推薦最新的AI方案,而是先盤點你現有的資安體質,再決定怎麼把AI疊上去才不會變成那個31秒被修好的破口。
AI沒讓駭客變聰明,只是讓他們變便宜。你該怕的不是天網,是你自己還沒改的那組密碼。