AI技術正慢慢成為不法分子的「好夥伴」，導致網絡攻擊的複雜度和防禦難度急速上升。香港網絡安全事故協調中心（HKCERT）最新就揭示六大AI協助攻擊手法，並呼籲企業與市民高度警覺。

六大AI新興攻擊方法：

1）代理式AI所帶來的最新風險

以往需要多人協力才能發動的精密網路攻擊，現在可能只需要一名黑柯，就能指揮多個代理式 AI 自動完成。

此外，許多廠商也開始將代理式AI整合至瀏覽器中，用戶只需透過對話介面，就能指示 AI 代為完成各種操作，例如訂餐廳或網購日常用品。然而，這類具自主行動能力的 AI 瀏覽器近期被發現安全漏洞。惡意網站可能透過隱藏指令，在用戶不知情的狀況下操控AI執行非預期的操作，如AI可能會擅自開啟電子郵件收取驗證碼，並將資料上傳到外部網站。

HKCERT建議，機構及用戶都需繼續保持警揚，提升保安意識應對更複雜攻擊。而代理式 AI 在應用層面仍需加入更多安全機制，以防止其執行超出用戶授權的行為。然而，由於具備自主代理功能的AI瀏覽器仍屬發展中技術，HKCERT建議用戶使用AI 瀏覽器處理敏感資料或交易時，可檢視其操作步驟，或避免將電郵、個人資料或信用卡資料連結至瀏覽器。

2）AI破解驗證碼

登入網站除了輸入帳號和密碼，常被要求輸入圖形驗證碼，以區分真人用戶與自動化程式。如今，只需將驗證碼圖片上傳至AI系統，AI便能迅速且準確地回覆。這意味著黑客可以透過撰寫AI程式，讓其協助繞過傳統驗證碼，令驗證碼保護網站的功能如同虛設。

HKCERT表示，對於仍採用傳統驗證碼的網站，建議系統管理員考慮升級至互動式驗證碼或行為檢測式驗證以提升安全性，減少被自動化攻擊入侵的風險。

3）AI網頁分析及攻擊輔助

黑客經常在網上搜尋各類登入頁面，並嘗試以暴力破解方式取得帳號及密碼，進而發動滲透攻擊。如今，在AI技術的協助下，從尋找登入頁面到執行暴力破解的整個流程，部分工作已經可以交由AI自動完成。

事實上，已有資安研究人員開發並公開了能夠利用AI進行滲透攻擊的工具。預期黑客也將迅速跟進，開發出更高效、更自動化的攻擊工具。

HKCERT建議，網站管理員加強安全檢查，嚴格執行安全密碼政策（如多重認證），並定期檢視系統日誌，分析可疑活動，及時修補安全漏洞，降低被黑客利用的風險。

4）AI分散式阻斷服務攻擊（DDoS）

DDoS攻擊以往主要依靠壓倒性的網絡流量來癱瘓目標網絡，但目前黑客開始開發出新型的AI 攻擊工具，能夠即時監測攻擊效果，並根據防守策略（如流量限制）自動調整，轉而攻擊其他弱點。這些工具甚至能模擬人類使用者的操作行為，藉此騙過傳統的防禦機制。

未來，DDoS攻擊預計不再只追求流量規模，更強調準確與靈活，目標是以最少的流量造成最大的破壞。面對這種新型威脅，網絡安全開發者也積極運用AI技術，以「以子之矛，攻子之盾」的方式應對。他們利用歷史流量數據、過往攻擊模式及威脅情報來訓練 AI 模型，使其能夠即時分析網絡流量，自動回應攻擊並動態調整防禦策略。這些AI模型還會持續收集流量數據，不斷自我微調與學習，隨著時間推進變得更加精準。

HKCERT表示，DDoS攻擊將更加即時與複雜，呼籲網絡管理者應持續關注最新攻擊趨勢，定期更新威脅情報，並考慮部署具備AI功能的網絡防護系統，以應對未來以AI為主導的新型攻擊挑戰。

5）AI驅動的勒索軟件

近期，某大學學術研究團隊成功編寫了一個AI勒索軟件的雛型，即時連接至大型語言模型，利用預設提示詞（Prompt）即場生成攻擊程式碼並執行。意味AI勒索軟件能根據不同機構的系統架構、網絡環境及保安防護程度等，自動進行客製化，令防禦難度和受影響程度大增。

HKCERT強調，市民切勿隨意下載或執行來源不明的檔案或程式，及應安裝防毒軟件或網絡安全應用程式並定期更新。

6）AI製作的釣魚網站

AI網頁開發技術日益成熟，用戶只需提供適當提示詞，便能生成美觀且功能正常的網站。對黑客而言，他們可利用 AI 工具複製正規網站頁面，稍作修改後便能製作出高度仿真的釣魚網站。可以預計釣魚詐騙的攻擊將會持續增加，而且更難單靠網頁內容來斷定真偽。HKCERT建議，市民瀏覽網站時務必檢查網址真偽，若有疑慮，切勿向可疑網站輸入任何個人或敏感資料。