AI技術正以前所未有的速度重塑數字世界,Anthropic旗下Claude Mythos憑藉強大的零日漏洞挖掘能力,被譽為「資安界核武」,引發美國財金高層高度警覺。美國財長貝森特與美聯儲主席鮑威爾緊急召集大行高管開會,評估其對銀行、支付及金融基礎設施的致命威脅。
這股AI資安風暴不僅衝擊全球金融體系,更直指國家安全核心。本社專訪資訊科技專家、香港資訊科技商會榮譽會長方保僑與教育界立法會議員鄧飛,深度探討AI時代的資安與國安雙重危機。
零日漏洞成金融定時炸彈
方保僑指出,Mythos本質是AI自動化零日漏洞挖掘工具,具備寫程式、除蟲(Debug)與底層掃描能力,可快速定位作業系統、軟體、芯片及硬件的隱藏漏洞,其中不少是潛藏數十年、從未被發現的零日漏洞,連軟件開發商與白帽(公司資訊安全人員)均不知情,這些零日漏洞成為潛藏於金融系統的定時炸彈。
方稱,過去發現一個零日漏洞耗時數月、成本高昂,但Mythos實現秒級、大規模、自動化挖掘,讓漏洞從「稀缺資源」變為「批量生產」,攻防格局徹底逆轉。他說:「現時銀行系統多沿用10至20年舊架構,新舊混雜、防護脆弱,銀行作為關鍵基礎設施核心,一旦遭滲透,將引發資金被盜、系統癱瘓、市場信心崩盤的連鎖危機。」
他強調,Mythos橫空出世後,銀行面臨的零日攻擊壓力非簡單翻倍,而是指數級暴增,未來6至12個月針對金融機構的零日攻擊數量有望上升10倍以上,呈現「發現即利用、利用即得手」的高致死率特徵。
為防範這項AI核彈級應用遭到濫用,Anthropic聯同微軟、NVIDIA、亞馬遜等數十家企業發起Glasswing項目,以Mythos先行自查修補漏洞,將攻擊武器轉為掃雷工具,為關鍵基礎設施搶築第一道防線,但方保僑提醒,Glasswing僅覆蓋頭部企業,中小金融機構與老舊系統仍存在防護盲區,而且他確信不會只有Anthropic有此能力,現在大家都在爭取緩衝時間,盡快為網絡系統的漏洞「打補丁」。
量子計算能輕易解碼 威脅超「千年蟲」
比AI漏洞挖掘更致命的,是量子計算的顛覆性威脅。方保僑直言,量子計算可並行處理海量運算,速度較傳統計算提升萬倍,現有256元加密、區塊鏈、銀行金融加密體系,可能在30分鐘內被破解,過去須數年才能突破的防線將形同虛設。
這意味全球金融、能源、通訊等關鍵領域的加密體系全面失效,影響遠超當年「千年蟲」。量子計算已成國家級戰略武器,預料未來技術出口管制將持續升級,各國必爭奪這類數字核彈主導權。
AI不僅改變金融攻防,更大幅顛覆國家安全邊界。代表教育界的立法會議員鄧飛直言,AI時代的國安威脅已徹底脫離傳統框架,過去國安關注物理攻擊、傳統滲透,如今AI讓高門檻技術快速普及化、低齡化、低成本化,網絡攻擊從專業黑客的特權變成為普通人可操作的大殺傷力武器。
網攻低齡化 深偽技術門檻幾歸零
他以深偽技術(Deepfake)舉例:一年前製作一段高仿真深偽內容需半小時專業操作,現今5分鐘內即可完成,門檻幾乎歸零。網絡攻擊同理,從前需頂尖黑客團隊、高額時薪,如今普通青少年借助AI大模型,就能編寫惡意程式、發起APT進階持續性攻擊。
這引發最危險的風險:敵對勢力或犯罪集團可能收買青少年充當「科技傭兵」,年輕人掌握科技快、成本低,且法律懲治較輕,經多層轉接後可模糊主謀身份,與現今利用青少年從事販賣私煙、追數等違法行為邏輯完全一致。
即便這類攻擊破壞力可能有限、不難偵破,但犯罪分子已達目的:動員年輕人投入危害國安的違法行為,從思想與行為雙層滲透,後患無窮。
面對AI帶來的全新威脅,鄧飛提出兩大對策。一是建立AI技術國安預警機制,國安部門須持續監督AI技術迭代,每一次升級都要即時評估對國安、社會治安的潛在風險,改變過去滯後於科技發展的被動局面,如同冷戰時期核彈預警一樣,提前識別技術風險,加之動態管控。
國安教育須加入AI風險和科技倫理
其次,將國安教育全面科技化、案例化國安教育,再不能停留在傳統宣導,必須融入AI風險、科技倫理與法治教育,讓青少年明白用AI搞網攻屬違法行為。鄧飛建議現階段由警方國安部門主導,以真實案例解釋和提醒,避免全社會過度恐慌引發逆反心理,同時覆蓋學校、家庭與企業,建立相關防護意識。
此外,鄧飛強調須強化跨部門協同與法規完善。在特區維護國家安全委員會統籌下,警方、資訊科技署、教育局等聯動,針對AI網攻、數據安全修訂附屬法例,參考《保護關鍵基礎設施(電腦系統)條例》,強制敏感以及影響社會運作的機構和企業定期進行網絡安全審計並須達標,落實主體責任,構建「政府監管、企業自防、社會參與」的立體防護體系。
從Mythos引發的金融資安震盪,到AI降低網攻門檻帶來的國安挑戰,技術進步始終是雙刃劍。方保僑與鄧飛均強調,AI與量子計算時代,威脅已無遠弗屆,防禦不能再依賴舊思維和舊系統。
對金融機構而言,立即升級老舊系統、參與聯防計劃是當務之急;對社會而言,普及國安與科技倫理教育、防範青少年被利用刻不容緩;對監管與執法部門而言,建立動態預警、完善法規、強化跨域協同,才能守住國家與社會的安全底線。
