黑客新武器：AI如何助長網絡攻擊？

人工智能（AI）技術的普及為各行各業帶來便利，但同時也成為黑客手中的「新武器」。根據香港網絡安全事故協調中心（HKCERT）最新研究指出，AI已不僅僅是科技工具，更被廣泛應用於惡意用途，特別是在網絡攻擊領域。這股「AI武器化」的趨勢正迅速改變網絡安全的遊戲規則，從破解驗證碼到自動化滲透攻擊，近年來AI的能力使傳統防禦機制面臨巨大挑戰。HKCERT揭曉了六大AI驅動的網絡攻擊手法，並提醒企業與市民需採取更嚴密的防禦策略。

代理式AI的技術特徵

最近有一種名為「代理式AI」（Agentic AI）的技術引起了資安界的關注。代理式AI不再是被動回應指令的聊天機器人，而是能夠主動操作電腦系統，執行複雜任務（例如，它能夠自動完成複雜的網絡攻擊任務）。雖然這項技術提供了便利，但也存在風險：惡意網站可能透過隱藏指令操控AI，在用戶不知情的情況下執行非授權行為，例如擅自開啟電子郵件並上傳資料。

香港網絡安全事故協調中心(HKCERT)建議，機構和用戶應提高安全意識，避免將敏感資料連結至AI瀏覽器（如某些瀏覽器附帶的智能助手功能），並定期審查其操作步驟。

AI破解驗證碼：傳統防禦失效

在網絡安全領域，圖形驗證碼一直是區分真人用戶與自動化程式的關鍵工具，曾被視為一種有效防禦手段。然而，隨著AI技術的進步，這一防禦手段正逐漸失效。現今，黑客只需將驗證碼圖片上傳至AI系統，AI便能迅速準確地解讀內容。這表明，傳統驗證碼已難以有效抵禦自動化攻擊。

香港網絡安全事故協調中心(HKCERT)建議網站管理員考慮升級至互動式驗證碼（如點擊驗證或拖拽驗證，互動式驗證碼）或行為檢測式驗證（透過分析用戶操作模式來辨識機械化行為，行為檢測式驗證），以進一步提升系統安全性。

AI輔助的自動化攻擊

除了破解驗證碼，AI還能幫助黑客自動分析網站結構並尋找弱點。例如，一些資安研究人員已開發出利用AI進行滲透攻擊的工具，這些工具能自動搜尋登入頁面、嘗試以暴力破解方式猜測帳號密碼，甚至模擬人類使用者的操作行為，騙過傳統防禦機制。面對這類攻擊，網站管理員應加強安全檢查，落實多重認證措施，並定期審查系統日誌以偵測異常活動。

AI驅動的DDoS攻擊技術

分散式阻斷服務攻擊（DDoS）一直是網絡攻擊中的經典手法，但在AI時代，這種技術變得更加智能且高效。新型AI工具能夠即時監測攻擊效果，並根據防守策略自動調整攻擊方向。這些工具甚至能模擬人類使用者的行為模式，令傳統防禦機制難以察覺異常。為應對這類挑戰，網絡安全開發者也在積極開發模型，以即時分析流量數據並自動回應攻擊。

AI生成的勒索軟件與釣魚網站

AI已被用於生成高度個性化的勒索軟件與仿冒網站。例如，某大學研究團隊成功開發了一款AI勒索軟件雝型，能根據目標系統的特點生成攻擊程式碼。同時，黑客也利用AI工具複製正規網站頁面，製作出幾乎無法辨別真偽的釣魚網站（例如仿冒銀行網站，使用戶誤輸入個人資料）。

香港網絡安全事故協調中心(HKCERT)呼籲市民切勿下載來源不明的檔案，並在瀏覽網站時仔細核對網址真偽。

AI時代的安全新挑戰

隨著AI技術不斷進步，網絡攻擊的規模和複雜性亦迅速增加。香港網絡安全事故協調中心(HKCERT)強調，單靠人力已無法抵禦這些新型威脅，唯有透過「人力與AI輔助」相結合的防禦策略，方能有效應對這一迫切挑戰。未來，企業與市民需持續提高安全意識，並積極採用最新的技術手段，共同建立更安全的網絡環境。

如欲了解更多詳情，請瀏覽 HKCERT官方網站。