Agentic AI重塑IT保安格局

生成式AI正顛覆各不同領域，更加能夠取用工具和自動執行工作，未來多個智能體可以協調工作，執行複雜的任務。

生成式AI改變了資訊處理方式。未來Agentic AI能理解目標、制定計劃、自主執行任務，並根據結果調整策略，無需人工干預每個步驟。

Barracuda董事總經理兼工程副總裁Rohit Aradhya指出，未來企業將由多個協作的智能體營運，包括IT保安營運。「未來企業會有大量智能體工作，各自擁有特定權限和API存取權，以協調方式共同協調工作。」這些AI智能體可管理不同層面——從威脅偵測和分析、政策配置到事故反應，在特定範圍各司其職，並受監督層確保協調性和不僭越職權。

AI透過自動化分流威脅、調查事故，甚至自動作出反制，讓小型團隊也能應付更多保安工作，IT保安可化被動為主動。Rohit說，用戶已經可利用自然語言，管理整個保安配置，無需深厚技術知識，只要描述想達成的目標，AI系統分析環境、規劃變更、執行相應配置。IT團隊毋須逐個層面手動配置，AI理解意圖和評估環境後，可建議最佳配置並直接執行，同時落實審計追蹤。

網絡攻擊不斷升級

Barracuda提供全面的網絡保安方案，包括專注電郵保安，亦推出多項創新方案，應對不同的網絡威脅。由於黑客可輕易在社交媒體找到企業電郵地址，電郵也成為最直接的攻擊目標，即使部署各種防護措施，人為因素始終是最脆弱的一環。

可是，IT保安又面臨人才短缺。Barracuda 2025全球研究顯示，大多組織擔心保安環境變得過於複雜。據世界經濟論壇研究，全球僅有14%組織認為本身具備充足人手和技術，應對IT保安的威脅。

生成式AI也是黑客的武器，攻擊者以AI生成釣魚電郵，再結合行為分析，製作出針對性極強的內容，再採用深度偽造技術製作音頻和視頻，幾可亂真地冒充高層發動攻擊。

「香港一家建築工程顧問因為深度偽造視頻攻擊，損失高達2，500萬美元。攻擊者深入研究目標公司，發動高精準電郵，再以其他深度偽造攻擊。」Rohit說。

Agentic AI彌補人才缺口

Rohit認為，AI有機會解決中小企挑戰。首先是AI彌補知識的差距，普及IT保安知識，提供高級別洞察力。AI也可過濾雜訊，減少誤報，優先處理更嚴重的警報。此外，AI亦可自動處理大量重複工作，例如分流警報、日誌關聯和威脅評分，讓團隊專注關鍵的任務，有效配人力資源。

據Barracuda大中華區、東南亞及韓國區總裁樓永强指，相較於傳統保安，AI提升了事件偵測能力，有助於減少誤報。不少企業正探索以AI為驅動的安全運營中心（SOC），中小企業視AI作為解決技能短缺的途徑。

Barracuda的AI歷程

「IT保安架構管理，必須從人員、流程和技術三個方面著手，觸及所有範疇。」Rohit表示，AI可改進上述三方面管理。Barracuda在2015至2016年已開發AI應用，包括機器學習和AI技術，其後擴展至整個產品線。最新的BarracudaONE平台，包括XDR（延伸偵測及回應）和Data Inspector，均加入AI功能。

Barracuda也用AI動態設計出保安意識培訓，提供個人化內容，針對會計或財務，設計針對職能的攻擊模擬，按不同風險訂造個人化培訓。

端到端可視性與自動化

BarracudaONE的核心原理是加入AI，以優化防護和加強網絡的韌性。該平台整合不同層面的保安和品牌的保安設備，提供進階威脅偵測及應對能力，針對託管服務供應商（MSP）、合作夥伴和終端用戶，解決工具過多無從整合，以至減弱威脅偵測能力，並出現配置錯誤風險等問題。Rohit說，未來BarracudaONE會加入Agentic AI以加強自動化能力。

Rohit解釋：「現在IT保安的討論重點，不再停留在產品功能性，而是能否具備端到端的可視性，配置是否足夠簡單，以及是否可快速修復漏洞。」他指可視性和修復能力是重中之重，因為沒有可視性，就是瞎子摸象，更不可能及時修復漏洞。

AI成雙刃劍：風險與規管

然而，AI也有多重風險。Rohit說，AI是把雙刃劍，沒有防護措施下使用AI，確是有深層風險。不少企業整合ChatGPT於網站，可能暴露敏感數據，最終誰為保護數據負責，仍是未知之數。

不過，AI規管管治亦正在成形。Rohit說，歐洲正制定AI風險標準，美國國家標準與技術研究院 (NIST)亦制定了生成式AI的風險管理框架，印度更將AI風險管理標準與數據保護法規（DPDP）合併。各地標準仍處於發展期，規管和管治都需要更多觀察，才能確定涵蓋案例。

Rohit預計：「未來兩至三年，更多標準化包括管治數據、身份識別管治、應遵循的最佳實踐，相信會有更清晰指引。」

他指，Barracuda的Data Inspector就是為符合不同合規要求而設，當OneDrive 或 SharePoint出現私人和敏感數據時，系統會識別編輯預覽，以協助合規，確保遵從GDPR等私隱法規。他預期，AI管治監管框架陸續出現，屆時IT保安廠商亦有規可循。

https://blog.barracuda.com/2025/11/17/frontline-security-predictions-2026-agentic-ai