「養龍蝦」時代來臨：AI Agent 熱潮下，資安風險被嚴重低估

文章撰寫 / 奧登行銷團隊

近年來，企業在導入 AI 的語境上出現了細微卻深刻的變化。從「利用 AI 完成某些工作」，演變為「指派 AI 自主執行任務」。

這不僅僅是表達方式的不同，更是企業對 AI 角色定位的根本轉變。AI 已經不再只是單純的工具，而是晉升為能夠獨立完成任務的代理人 —— 它能閱讀郵件、做出決策、調用系統資源，甚至在無需人工即時干預下，完成整個作業流程。因此，企業正加速進入一個自身尚未完全掌握的新階段。

這種情況就像開始「養龍蝦」一樣。

初期看似高端且高效，甚至能創造額外價值；但極少有人在一開始就察覺到，真正的風險並非來自價格，而是來自於失控後所需付出的巨大代價。

以往企業對 AI 的風險認知，多半停留在「模型」層面，例如錯誤回應或資料洩漏等問題。然而，當 AI 蛻變為 Agent，風險重心隨之轉移。根據近期觀察，AI 應用已從單純生成內容，進化為具備自主規劃、調用外部 API、處理資料及執行任務的代理型架構。

這場轉型的核心在於——AI 開始「親自執行任務」。一旦 AI 擁有這樣的能力，問題已不再只是「說錯話」這麼簡單，而是「做錯事」所帶來的實際後果。

因此，資安領域也以全新視角審視這個現象。例如 OWASP 推出的 Agentic AI Top 10，重點並非僅僅列舉漏洞，而是在描繪一種全新的風險形態：AI 也許不會被直接攻擊入侵，但卻可能遭到誤導。

舉例來說，代理人難以可靠區分「合法指令」與「惡意資訊」，使得攻擊者能藉由提示或資料，操控其行為與目標。

• ASI01：代理目標劫持（Agent Goal Hijack）

• ASI02：工具濫用與調用（Tool Misuse and Exploitation）

• ASI03：身分與權限濫用（Identity and Privilege Abuse）

• ASI04：代理式供應鏈漏洞（Agentic Supply Chain Vulnerabilities）

• ASI05：非預期程式碼執行RCE（Unexpected Code Execution RCE）

• ASI06：記憶體與上下文毒化（Memory & Context Poisoning）

• ASI07：不安全的代理間通訊（Insecure Inter-Agent Communication）

• ASI08：連鎖故障（Cascading Failures）

• ASI09：人機信任利用（Human-Agent Trust Exploitation）

• ASI10：失控代理（Rogue Agents）

這類風險與傳統資安最大的不同在於，表面上一切運作正常。沒有異常登入、沒有明顯漏洞利用，所有操作都在「合法權限」範圍內。但實際結果卻可能嚴重偏離預期，甚至導致資料外洩或錯誤決策。

更需警覺的是，這些風險目前仍處於「剛開始被理解」的階段。

多數企業往往先急於部署 AI Agent，之後才意識到資安問題。導入時關注的焦點是效率與自動化，等到實際運作才發現：

•    Agent 權限設置過高

•    行為模式難以預測

•    決策過程缺乏透明度

•    資料流動難以有效控管

結果，企業不得不投入大量資源進行善後、修復與重建。這就像養龍蝦後才發現水質遭到污染，於是不得不更換水源、消毒並重整整個生態環境。而真正的成本，往往在這個階段才全面浮現。因此，產業界逐漸意識到，必須建立全新的安全架構來因應這一變局。

在 OWASP 的最新發展中，另一個備受關注的議題是 AI Security Verification Standard（AISVS）。這項標準旨在建立一套完整的 AI 系統安全驗證架構，而不僅僅針對單一漏洞或功能進行檢查。

這反映出一個重要趨勢：未來的資安重點，不再只是防止「被入侵」，而是要驗證「行為是否合乎規範」。

AI Agent 本身並非錯誤的發展方向。它確實帶來效率提升與自動化的擴展，甚至有潛力成為企業營運的核心一環。但問題在於，當企業尚未充分理解其行為模式時，就貿然讓其投入實際運作，這才是潛藏的最大風險。

養龍蝦本身沒問題，問題在於把牠當作裝飾品對待。同理，AI Agent 也不僅僅是更聰明的工具。它是一個會主動行動、累積影響，並可能在無聲無息中偏離初衷的存在。

當企業開始依賴 AI Agent 時，真正該思考的，或許不是它能完成多少任務，而是：

當它犯錯時，你是否已經有能力承擔後果？