ai powered hackers cybersecurity ready.png

當駭客用上 AI:企業資安防線正被改寫

DQS HK

博客團隊
10月 20 , 2025

在 2025 年 10 月,香港電腦保安事故協調中心(HKCERT)發佈了一篇題為
《黑客新伙伴:AI武器化協助網絡攻擊! HKCERT揭示六大 AI 新興攻擊方法》 的文章。

該文指出,人工智慧(AI)正迅速被武器化——從破解驗證碼(CAPTCHA)與自動化釣魚,到能夠自我學習並執行複雜滲透的全自動「代理式」(Agentic)AI 攻擊。

HKCERT 警告,隨着 AI 更深地融入攻擊行動,僅依靠人力防禦已不再足夠

企業必須開始運用 AI,不僅僅作為效率工具,而是作為防禦與治理能力的一部分——從被動應對,邁向以國際標準(如 ISO/IEC 42001 人工智慧管理系統 AIMS)為指引的「可稽核式結構化治理」。這標誌着資安防禦的一場深層轉變:從「技術防禦」走向「治理防禦」

在 AI 時代,保障系統安全不再只是封鎖入侵,而是要建立問責性(Accountability)、可追溯性(Traceability)與倫理監督(Ethical Oversight)——這些正是 ISO/IEC 42001 的核心原則。

 

 

六種新興的 AI 驅動網絡攻擊形式

根據 HKCERT(資料來源),以下六類 AI 攻擊正快速崛起:

  • 自主式 AI 滲透(Agentic AI Autonomous Intrusion)
    AI 系統能獨立發現漏洞並自動執行攻擊。
  • AI 生成釣魚(AI-Generated Phishing)
    由生成式 AI 撰寫的高擬真、具情境感釣魚電郵。
  • 驗證碼繞過自動化(CAPTCHA Bypass Automation)
    AI 模擬人類行為,突破傳統驗證機制。
  • AI 優化分散式阻斷攻擊(AI-Optimized DDoS)
    AI 自我學習並協調更具彈性的攻擊模式。
  • 對抗性機器學習(Adversarial Machine Learning)
    利用對抗樣本誤導 AI 模型,造成錯誤判斷。
  • AI 強化社交工程(AI-Enhanced Social Engineering)
    透過深偽(deepfake)語音與影片,提升詐騙可信度。

這些新型攻擊揭示出三大治理缺口:

  • 自主風險(Autonomy Risk):AI 可在無人監督下自行行動。
  • 規模風險(Scalability Risk):攻擊可在極低成本下迅速擴散。
  • 不透明風險(Opacity Risk):AI 決策過程缺乏稽核與透明性。

這一趨勢反映出一個重要轉折點:資安管理(ISO/IEC 27001)正與 AI 治理(ISO/IEC 42001)交匯融合。
 

 

從 ISO 27001 到 ISO 42001:從「安全」升級為「治理」

多年來,ISO/IEC 27001 資訊安全管理系統(ISMS)一直是企業資安的基石——確保資訊資產安全、維持系統可用性、並有效管理風險。

但隨着 AI 被引入決策與營運流程,新的風險亦隨之出現:模型偏差、資料洩漏、倫理爭議,以及演算法問責問題。

ISO/IEC 42001(於 2023 年底正式發佈)正是為此而設——它提供一個完整框架以實現「負責任的人工智慧」(Responsible AI),涵蓋倫理性、可解釋性、風險管理與持續改進。

面向

ISO/IEC 27001

ISO/IEC 42001

範圍資訊與 IT 系統AI 模型、演算法與全生命周期
風險焦點機密性與可用性公平性、問責性、透明性
治理層級技術與程序控制策略與倫理監督
目標資訊安全管理值得信任的 Responsible AI

建議企業將 AIMS 原則(Artificial Intelligence Management System)整合至既有的 ISMS 架構,打造兼具「安全防護」與「倫理問責」的雙重治理體系。

 

 

香港與大灣區:邁向新治理格局

近年,多項政策重塑了香港及大灣區的資料與 AI 治理環境,包括:

  1. 香港《個人資料(私隱)條例》(PDPO)修訂方向
  2. 《內地與香港個人資料跨境流動標準合同指引》(2023)
  3. 《生成式人工智慧服務管理辦法》及《演算法推薦管理規定》

這些政策共同傳遞出明確訊號:AI 模型與資料系統已不再只是技術資產,而是受監管的治理對象。

透過 ISO/IEC 42001,企業可將國際最佳實踐與本地合規要求接軌,在香港的私隱保護框架與內地的 AI 治理要求之間建立橋樑。

 

 

建立 AI 治理防線的三個步驟

  • 第一步:進行 AIMS 差距分析(Gap Analysis)
    比較現有 ISO/IEC 27001 實施狀況與 ISO/IEC 42001 要求,
    找出治理與技術層面的優先改進項。
  • 第二步:設立 AI 治理委員會(AI Governance Committee)
    將 AI 風險管理納入公司治理架構,
    由高層負責監督倫理與合規事宜。
  • 第三步:執行 AI 滲透測試與第三方稽核
    委託獨立機構(如 DQS HK)
    評估 AI 模型與供應鏈的安全性與治理成效,
    向客戶及監管機構展示企業的 Responsible AI 能力。


 

結語:AI 安全的核心是治理

HKCERT 的分析提醒我們,AI 攻擊的根本問題並非僅是技術漏洞,而是治理與問責的缺失。

唯有結合 ISO/IEC 27001 的資訊安全基礎與 ISO/IEC 42001 的人工智慧治理架構,企業才能在創新與信任之間取得平衡。

 

 

DQS HK 相關服務



 


 

作者

DQS HK

在我們所做的每一項工作中,我們始終堅持最高的質量和專業標準。這不僅使我們的行動成為行業標杆,也成為我們不斷精進和堅守的使命。

相關文章與活動

你可能對此也感興趣
Blog

AWS、Azure 已取得 ISO 27001 驗證,但不等於企業本身符合 ISO 27001

閱讀更多
Blog

為什麼 ISO 42001 是 ISO 27001 認證的必要策略升級?

閱讀更多
Blog

HKMA C-RAF 2.0 自我評估指南:提升金融機構網絡應變能力的策略

閱讀更多