人造的未来：趋势科技2025年资安预测

人造的未來 趨勢科技2025年資安預測 出版者： Trend Research 圖片授權：Shutterstock 2025年，消費者資料將成為網路地下市場的熱門商品，這一年，企業將因網路犯罪份子而蒙受高達10兆美元左右的損失1。駭客將不斷開發新的方法來攻擊企業脆弱的地方，企業的風險將因攻擊面擴大而攀升。我們的研究2指出，人工智慧(AI)是駭客陰謀背後一項重要的驅動力3，駭客將利用AI來強化、加速及改善其營運4，並瞄準企業至今依然最脆弱的環節，也就是：使用者。 此外，駭客也將不斷尋找阻力最小、最容易取得的入侵途徑，以最省力的方式持續創造最大獲利。暴露在外的資料儲存將是駭客的熱門目標，而濫用合法工具則是他們熱愛的技巧。接下來，我們將聚焦2025年當中最可能危及企業營運與使用者安全的一些頭號問題。 風險評估評估即將面臨的風險 人造的未來 本節摘要整理我們對2025年的預測，以及我們專家預測將看到的一些風險以及其嚴重性和範圍。嚴重性指的是攻擊得逞時可能造成的衝擊程度，而範圍則是指攻擊得逞後可能受到影響的人數。同時，我們也列出哪些產業和團體應該留意該類型的攻擊。 AI時代的詐騙：氾濫的深偽、惡意數位分身，以及AI工具 深偽(deepfake)將成為未來最嚴重的AI相關威脅，原因在於深偽遭駭客濫用的潛力無限。目前駭客仍未完全發揮其潛力，所以我們預料2025年他們勢必會將深偽應用在新的詐騙與犯罪陰謀當中。有了深偽技術的加持，熱門或常見的社交工程詐騙甚至將變得更加逼真，駭客只需利用個人公開的貼文來訓練大型語言模型(LLM)，就能模仿其寫作風格、知識及性格。這類使用AI的駭客技巧，有辦法很逼真地假扮成某人來騙過不知情的受害者。除此之外，我們也預料採用AI來半自動化的詐騙會繼續發展下去，對企業來說，變臉詐騙(BEC)與假扮成員工的詐騙應該最令人擔心。所謂的「KYC認證迴避服務」(Bypass-KYC-as-a-service)近年來在地下市場上相當受到歡迎，但這背後需要三項要素：非蓄意暴露的生物辨識資訊、外流或遭人竊取的個人身分識別資訊(尤其是遭勒索病毒攻擊之後)，以及日益強大的AI功能。所以變臉詐騙依然會是詐騙集團的最愛之一。 至於AI攻擊的重點，駭客將利用AI系統的漏洞在受害者不知情的狀況下假冒其數位身分(或使用全新身分)誘騙AI執行有害或未經授權的動作。隨著AI技術的持續進步，我們將密切觀察其最新應用，因為駭客集團會不斷尋找AI在社交工程方面的新用途，例如：為特定事件量身打造專用的網路釣魚套件。AI將使得駭客更有效率、更即時地推出這些工具套件，前不久舉行的美國總統大選已見識到這點，未來勢必更加常見。 想像一下LLM帶來的自動化將使得詐騙規模變得有多大。目前，詐騙使用AI的程度仍然有限，但不難想像其下一步演進勢必利用AI來將一切全面自動化。網路駭客使用AI只需做對一次就能得逞，反觀防守的一方，卻必須在每次使用AI的時候都不能出錯。 值得注意的AI網路犯罪與惡意活動： 在社群媒體建立大量看似真實用戶的機器人。模仿社群媒體用戶的方式散播內容。持續散播既有的錯誤資訊來放大外部惡意影響力。 專門尋找因內心寂寞且脆弱的人。主動聯系並開始交往。引誘受害者加入交易及投資聊天室。想辦法讓受害者將錢投入某個冒牌的網站。 其他值得注意的AI活動： AI軟體工程師 AI模型網頁抓取 AI演進到最後將出現具備進階思考與大規模推論能力的AI軟體工程師。 專為AI模型設計的網頁抓取器(webscraper)將繼續抓取全球企業網站的內容，尤其是網路媒體與報紙的網頁。 更好的網路攻擊擴充性 AI軟體供應鏈攻擊 AI將使駭客有能力以各種不同的外國語言來與受害者互動而不需像之前那樣必須先具備當地或區域性文化相關的背景知識。 當LLM模型成為AI代理的基礎且AI代理開始大量出現時，這類攻擊將更加普遍。 AI開啟了高度個人化攻擊的可能性(包括：網路釣魚、大眾輿論操弄、詐騙)，這類攻擊會仔細研究目標對象的個人習慣和需求。而這些更為精密的網路攻擊與詐騙，很可能帶來一些傳統資安無法有效應對的情況。 企業中的AI 自動化將掩蓋瑕 疵，讓人類肉眼 無法察覺 人造的未來 隨著AI朝代理的方向一步步邁進並開始自主使用企業的工具和電腦時，它將產生一連串操作人員無法看到的事件和互動，而缺乏這方面的可視性很可能將成為資安隱憂，因為企業無法即時監視和控制AI代理的行動。 當企業無可避免地掉入AI競賽的循環時，將使得自己暴露於更多的漏洞與缺失5。機敏資料曝光6會是一項日益嚴重的隱憂，因為LLM在與員工和客戶互動時有可能意外揭露機敏資料，包括：個人身分識別資訊與智慧財產。 越來越多的企業開始採用AI來發掘基礎架構的漏洞，這不僅增加了已發現的漏洞數量，但也同時提高了漏洞被攻擊的風險。此外，AI代理對於惡意程式作者將更具吸引力，這些自主的AI代理很有可能因被誤導而從事未經授權或惡意的活動，比方說，AI代理可能遭外人挾持。傳統的惡意程式和已知威脅偵測技術，未來不僅必須朝漏洞與攻擊面管理的方向移轉，同時也必須朝善用基礎資料情報的方向發展。 不僅如此，AI代理所消耗的系統資源(不論是良性或惡意的AI代理)都可能導致服務中斷的情況，假使資源超載的話。 2025年，企業將進行大量實驗來看看他們能容忍多大程度的AI幻想(hallucination)。惡意程式作者很可能攻擊這類框架，尋找其漏洞並加以利用。此外，企業內部使用的聊天機器人也可能成為駭客的幫兇，在駭客突破企業防線之後，成為駭客了解企業防禦運作方式的工具。 採用代理式AI的企業應小心防範： 使用者很可能在實驗AI代理的過程中誤傷自己，所以，在更好的指引與執行保護出現之前，這將是一項持續存在的威脅。此外，AI代理與模型供應商的數量有限，也意味著只要一家熱門供應商出問題，很可能導致諸多企業受害。 APT 最大衝擊：進階駭客集團對上雲端環境與供應鏈 人造的未來 國家級駭客，如Lazarus7、Turla8和PawnStorm9在2024年特別活躍，但預料2025年他們將更加活躍。這些集團將繼續鎖定外交資訊、軍事技術以及相關供應鏈，以造成最大衝擊。其他駭客與傭兵集團現在也會從事間諜工作，例如：VoidRabisu10與DaVinciGroup11。一些配合俄羅斯宣傳的行動(Doppelganger)，或是親近中國的駭客網路(如Spamouflage)也一直在持續利用假訊息來深化社會對立。SaltTyphoon12近期的攻擊竊取了不少語音電話的音訊和資料，顯示國家級駭客集團正在研究深偽音訊。 EarthHundun13與其他地緣政治傾向接近的國家級駭客集團同樣也在不斷快速演進。在此同時，北韓的集團應該會專注於虛擬加密貨幣來躲避制裁。APT29向來都是瞄準雲端環境，預料這類活動仍會持續增加。Sandworm主要從事與入侵烏克蘭相關的行動，視地緣政治情勢未來的發展如何，其營運有可能會繼續擴大。隨著地緣政治的發展，我們也將繼續看到駭客主義團體在攻擊一些涉及其政治和道德理念的企業，但過程中他們將受到一些想趁機利用這股免費勢力的國家級駭客所左右。 企業必須了解自己在供應鏈中的地位，解決對外連網伺服器的漏洞，並且在內部網路建置多層式防禦。針對某些職務，企業在招募時應該要求做身家調查，因為一些國家級駭客集團最近就透過人員招募的途徑將內賊安插在目標網路內。不僅如此，政府機關、民間企業及媒體有必要通力合作來揭發影響力行動的完整規模。未來，攻擊路徑預測對企業將至關重要，因為雲端執行個體讓多重步驟的攻擊程序變得可能，因此如果能夠預測並中斷這些攻擊路徑，將大大提升企業的防禦能力。 地緣政治的緊張情勢與衝突，為衝突區域內部和外部的企業都帶來了更高的風險。企業應採取主動、應對未來、持續、且永續的策略14(不論在衝突發生之前、當下、期間，以及發生之後)，以防範未來的攻擊。 APT集團預料仍將繼續存在 供應鏈。對外連網的路由器。借助針對性網路釣魚行動。 BYOVD(自帶含有漏洞的驅動程式)。OperationalRelayBox(ORB)網路與代理器(Proxy)網路–公開事件–作為誘餌。 內賊–協助將資料外洩或造成破壞。生成式AI：º量身打造網路釣魚。º協助並加速惡意程式開發。 漏洞 記憶體管理與 行動創新的漏洞 人造的未來 記憶體管理漏洞，例如越界(OOB)寫入/讀取漏洞將繼續成為駭客的工具，美國「網路資安與基礎設施安全局」(Cybersecurityand InfrastructureSecurityAgency，簡稱CISA)的「已知遭到攻擊的漏洞目錄」(KnownExploitedVulnerabilitiesCatalog)15今年就收錄了18個不同的OOB寫入漏洞。根據MITRE對漏洞嚴重性和利用頻率的分析，記憶體管理漏洞(CWE-787與CWE-12516)是最危險的漏洞。未來一年，記憶體管理與記憶體損毀漏洞很可能還是駭客最喜愛的漏洞。合併運用記憶體損毀漏洞與邏輯漏洞的技巧，經常是Pwn2Own駭客競賽參賽者的致勝關鍵。2025年，我們預料這樣的連鎖漏洞還會繼續流行，而API的漏洞則將為雲端資源帶來麻煩。同時，我們也預料會有越來越多容器跳脫漏洞17。我們今年已經看到一個Docker18跳脫漏洞，後續必定還有更多。 不過，一些老舊又簡單的漏洞，例如：跨網站腳本(XSS)與SQL資料隱碼攻擊(SQL Injection)依然會繼續流行，並且在其有生之年持續成為攻擊目標。尤其在資安專家尚未將營運技術(OT)裝置和服務研究透徹之前，情況更是如此。一些老舊的技巧還是非常有效，例如單純的緩衝區溢位與指令注入攻擊，對於印表機和Wi-Fi網路攝影機這類裝置仍非常有用，因為這些裝置在製造時並未考量到資安。不管AI再怎樣進步，這些阻力最低的傳統管道，對於想要以最省力的方式獲取最大利益的駭客集團來說，依然非常好用。 此外，在行動創新領域，資安也必須跟著未來道路的開展而急起直追。隨著平台標準化的推動讓不同的行動平台趨於統一，這意味著，萬一業界普遍採用的系統出現了漏洞，很可能將引發連鎖效應，導致眾多廠牌與車款的大規模召回或軟體緊急更新。此外，車用系統也正從諸多分散的電子控制單元(ECU)整合成少數幾種運算能力更強的集中式ECU。雖然這樣的改變能降低成本，縮短開發新版電氣/電子(E/E)系統的時間，但卻降低了駭客的進入門檻與學習曲線，並提高了共用元件的各OEM平台同時遭到大規模攻擊的風險。 今年我們在Pwn2Own駭客競賽上看到許多針對電動車充電與車用娛樂資訊(IVI)系統的攻擊。這類系統呈現了廣大的攻擊面，但廠商卻仍未徹底研究其相關的資安問題。未來，駭客可能將瞄準電動車充電樁與車輛間的通訊，因為這些充電站都已連上網路，並與支付系統、車輛及電網互動。所以，如果沒有妥善的防護，它們有可能遭到入侵並用來存取車用系統、竊取支付資訊，以及阻礙充電。 連網汽車的資安威脅有可能帶來真實的人身傷害，例如：被入侵的車輛可能被駭客停用煞車或方向盤。進階的防護及主動防範措施對於保護汽車系統以防止網宇實體威脅至關重要，因為這些威脅可直接影響乘客與行人的安全。 改變行動領域遊戲規則的風險 注入惡意指令。 儘管技術的進步能帶來效率與創新，但卻也製造了一些產業可能無法應對或甚至沒有意識到的新式風險。光是單一入侵事件就能在整個生態系造成連鎖反應，突顯出嚴密的聯合防禦策略迫在眉睫。 勒索病毒 勒索病毒集團將加倍 工具與應用程式 2024年，勒索病毒集團不斷利用合法工具來將資料外傳19、蒐集登入憑證20，以及自我複製，這讓駭客更容易橫向移動並提升權限。隨著時序進入2025年，合法工具將繼續成為駭客利用的工具，盡可能將攻擊行動偽裝成正常活動，並且掩蓋他們已經能夠存取企業珍貴資源、資料及網路的事實。隨著經由漏洞或被盜的帳號入侵企業的勒索病毒攻擊越來越多，使用網路釣魚的情況可能會因而減少，顯示勒索病毒集團正在改