過去十多年,資安意識訓練只有一個反派:釣魚信。無聊、重複,但有效。2026 年 4 月,這個敘事正在被悄悄退場。根據 Cisco Talos 的報告,2025 年第四季近 40% 的入侵事件不是來自被點擊的連結或被重用的密碼,而是直接源自未修補的漏洞利用。多年以來,漏洞利用第一次超越釣魚,成為主要的初始入侵管道——而 2026 年第一季的資料顯示,這個差距還在擴大。
四月讓趨勢變得具體
4 月 14 日當週讓這個趨勢變得令人不安地具體。CISA 在已知被利用漏洞清單裡新增了六筆,包括 Fortinet FortiClient EMS 一個關鍵的 SQL injection(CVE-2026-21643),可在未驗證情況下遠端執行程式碼;以及一個正在被實際利用的 Acrobat Reader 漏洞(CVE-2026-34621,CVSS 8.6)。Fortinet 那個漏洞特別棘手,因為這個產品就坐在無數中型企業的網路邊界,而這些企業沒有 24/7 的修補節奏。這種等級的漏洞以前還能給守方好幾週修補時間,2026 年從揭露到大規模利用之間的窗口,已經以「小時」為單位。
為什麼釣魚不再是頭號?
為什麼釣魚不再是頭號?兩個原因匯流。第一,守方真的在郵件問題上進步了:安全郵件閘道、Passkey、FIDO2 大規模部署,加上嚴格執行 DMARC,已經把釣魚的成本墊高很多。第二,攻方武器化漏洞的速度變快了。正在重塑軟體開發的 Agentic AI 能力,也在重塑攻擊面。Anthropic 在四月初決定限制其 Mythos Preview 模型——因為該模型在評估過程中自主發現並利用了所有主要作業系統與瀏覽器的零日漏洞——這不是奇聞。這是桌子另一端正在發生事情的縮影。如果一個前沿實驗室能訓練出這種等級的內部模型,你就應該假設資金充足的威脅組織已經在訓練一個「品質較低但能用」的版本。
對受害者殘酷的四月
四月對受害者來說也是殘酷的一個月。Anubis 勒索集團聲稱從麻州的 Signature Healthcare 偷走了 2TB 的病患資料,事件發生後好幾天,救護車仍被改派到其他醫院。Booking.com 揭露了影響客戶個資的資料外洩。Basic-Fit 證實大約 20 萬名荷蘭會員的資料外流。而 4 月 9 日到 10 日之間的 CPUID 事件——CPU-Z 與 HWMonitor 的官方下載連結被換成惡意連結約 24 小時——更是供應鏈信任被武器化的教科書級案例。從一個用了十五年的網站下載系統工具的人,拿到的是資訊竊取程式。
我的觀點:威脅模型已經過時
我對這一刻的看法是:大部分組織還在運作的威脅模型,結構上已經過時。我們仍在以「使用者是最弱環節」這個假設為前提來設計資安計畫。2026 年最弱的環節是你的修補節奏。如果你面向網際網路系統的平均修補時間超過七天,你就是在用 2018 年的威脅模型對抗 2026 年的現實。今年結束時看起來很聰明的團隊,會是把錢投在三個一點都不性感的領域的:持續的外部攻擊面管理、邊緣裝置的自動化修補管線,以及「假設初始入侵已經發生」的事件應變劇本。
還有一個不舒服的 AI 副劇情。同樣幫守方分流告警的 Agent,換一個 prompt、換一個操作者,就能把這份不對稱反過來指向你。我們正進入一個時代:攻擊與防禦被同一種技術同時加速,編排能力較強的那一方勝出。這不是一個舒服的位置,但這就是真實的位置。假裝事情不是這樣,是今年資安主管能犯的最危險的錯。
如果你的組織只能在 2026 年第二季訂一個目標,請訂這個:縮短「CVE 公佈」與「我們不再受影響」之間的時間。其他都是註腳。