2026 年 4 月發生了一件讓資安圈屏息的事:Anthropic 對旗下 Mythos Preview 模型施加了新的使用限制——因為該模型在實驗中,自主發現並利用了所有主流作業系統與瀏覽器中的零日漏洞。這不是科幻小說,而是真實發生的事件。與此同時,CISA 同月將 6 個已知被利用的漏洞加入其目錄,其中 Fortinet FortiClient EMS 的 SQL 注入漏洞 CVE-2026-21643(CVSS 9.1)屬於極端嚴重等級。
而在資料外洩方面,Basic-Fit 一口氣外洩了 100 萬名會員資料,包含姓名、生日與銀行帳戶;Rockstar Games 也透過第三方廠商 Anodot 的事件成為 ShinyHunters 勒索集團的受害者。
為什麼「AI 找漏洞」這件事這麼重要?
過去,零日漏洞挖掘是頂尖駭客與國家級資安團隊的專業領域,需要多年經驗與高度直覺。現在一個 AI 模型就能完成這件事,這意味著:
1. 攻擊門檻被大幅降低。未來不需要是 APT 組織,任何能夠使用開源 AI 模型的人,都可能在短時間內找到企業系統的破口。
2. 防守也必須自動化。傳統的「人類紅隊演練一年做兩次」已經不夠用。AI 紅隊必須 24/7 持續掃描自家產品。
3. AI 治理正式進入資安核心議題。Anthropic 的應對方式(主動限制模型能力)是一個里程碑,這顯示 AI 公司自己已經意識到,模型能力本身可能就是一種資安風險。
2026 年資安的三大趨勢
第一,漏洞利用成為主流攻擊路徑。相較於過往釣魚郵件為主的攻擊,2026 年起,透過未修補的 N-day 甚至 AI 輔助的 Zero-day 漏洞攻擊正迅速上升。
第二,供應鏈攻擊持續擴大。Rockstar Games 這次的受害不是因為自己系統有問題,而是第三方廠商 Anodot 被攻破。任何企業都必須把「供應鏈資安」當作一等公民議題。
第三,App Store 不再安全。一個惡意版本的 Ledger Live 居然能通過 Apple 審核上架,盜走約 950 萬美元加密貨幣。官方商店背書已經不再是完全的信任保證。
我的感想
我認為資安界正在進入「AI 對抗 AI」的時代。過去我們擔心駭客用 AI 加速攻擊,現在更該擔心的是:當你的對手是一個能 7×24 不眠不休、同時分析十萬行程式碼的 AI 模型時,你的防禦能跟上嗎?
對中小企業而言,建議優先做三件事:第一,立刻盤點所有第三方整合與 SaaS 依賴;第二,補齊基本的 N-day 漏洞修補流程;第三,考慮引入 AI-powered 資安監控服務,用 AI 打 AI。資安不再是「買個防火牆就好」的時代。