AI自動發現漏洞：下一場網路戰已悄悄開始

一場從未被公開的攻擊，差點讓數百萬用戶的雙重驗證形同虛設。

事件經過

Google 旗下的威脅情報小組（GTIG）於2026年5月12日發布報告，宣稱以「高度信心」確認已阻止一場由駭客借助AI模型策劃的「大規模零日漏洞利用行動」。所謂零日漏洞，是指軟體開發商尚未知悉、因而無法修補的安全缺陷。

根據報告，駭客使用名為 OpenClaw 的AI工具，成功找到一個可繞過雙重驗證（2FA）的零日漏洞，並計劃將其用於大規模攻擊。Google 表示，其主動偵測行動「可能阻止了這次攻擊的實施」，但未透露涉事駭客組織的名稱。報告同時指出，與中國及北韓相關的駭客組織「對利用AI進行漏洞挖掘展現出高度興趣」。Google 強調，其自家的 Gemini 模型並未被用於此次攻擊。

這份報告並非孤立事件。今年4月，Anthropic 以安全疑慮為由，延遲推出旗下新模型「Mythos」——理由是擔憂該模型可能被用於自動發現數十年前遺留的老舊軟體漏洞。此舉引發業界震動，並促成白宮召集科技與企業領袖舉行緊急會議。目前，Mythos 僅向 Apple、CrowdStrike、Microsoft、Palo Alto Networks 等少數受信任測試方開放。與此同時，OpenAI 上週也宣布，針對網路安全場景優化的「GPT-5.5-Cyber」模型開始向經過審核的安全團隊提供限量預覽。

為什麼這件事現在格外重要

網路安全領域的攻防對抗由來已久，但AI的介入正在改變這場博弈的基本邏輯。

廣告

廣告合作

[email protected]

廣告

過去，發現一個高價值的零日漏洞，往往需要頂尖安全研究員花費數週乃至數月時間。AI的出現讓這個過程壓縮至數小時，甚至更短。這意味著攻擊的「門檻」正在快速下降——不再需要國家級的資源投入，具備一定技術能力的組織或個人，借助現成的AI工具，就可能發動過去只有精英駭客才能策劃的攻擊。

對於台灣、香港及東南亞的華人企業而言，這一趨勢有著特殊的地緣政治意涵。報告中點名中國與北韓相關組織的高度興趣，讓人不得不聯想到近年來針對台灣關鍵基礎設施、半導體供應鏈以及金融機構的網路攻擊事件。台積電、鴻海等企業所處的供應鏈，早已是地緣政治博弈的前沿陣地，而AI驅動的自動化攻擊，無疑讓這條防線承受更大壓力。

值得注意的是，全球企業每年在網路安全上的投入已超過2,000億美元，但攻擊的自動化意味著防禦投入的邊際效益可能正在遞減。錢花得夠多，不代表就能守得住。

多方視角下的複雜局面

這場AI與網路安全的碰撞，不同立場的人看到的是截然不同的問題。

AI開發商面臨的是一個根本性的矛盾：模型越強大，被濫用的潛力就越大。Anthropic 選擇延遲發布，是一種負責任的姿態，但也有人質疑，這種延遲能否真正阻止壞人——畢竟，類似技術可能已在監管較少的環境中悄然運行。OpenAI 採取「限量開放給受審核團隊」的路徑，試圖在能力釋放與風險控管之間尋求平衡，但這條邊界究竟在哪裡，至今沒有清晰答案。

各國政府則面臨監管速度跟不上技術迭代的老問題。報告中提及白宮緊急會議，反映出美國政府的高度重視；但在大西洋彼岸，歐盟的《AI法案》與網路安全法規之間的協調仍在摸索中。至於亞洲各國，從日本的能動網路防禦立法，到台灣、新加坡的資安強化政策，各方都在加速補課，但AI攻擊的速度或許已經跑在前面。

一般用戶與中小企業感受到的，可能是更直接的不安：如果AI能自動繞過雙重驗證，那麼我現在用的帳號保護措施，還夠嗎？這個問題沒有簡單答案，但它提示人們，依賴單一驗證機制的時代可能正在走向終點。

當然，AI也是防禦方的武器。Google 這次能夠主動發現並阻止攻擊，本身就是AI防禦能力的體現。問題在於：攻守雙方都在使用AI升級工具，這場軍備競賽的終點在哪裡，目前沒有人知道。