i卡會員

資訊安全面臨的威脅從沒停過，但橫空出世的GenAI（生成式AI），在「Q-Day（Quantum Day）」即將來臨前，帶來一波挑戰。華碩集團在資安長金慶柏領軍下，近年除已著手準備面對Q-Day危機，因應AI新形態威脅，也正積極研究並參酌全球的權威框架，以建立更全面的系統性應對縱深防禦能力。

華碩於2024年12月正式加入FIRST國際資安事件應變小組論壇（Forum of Incident Response and Security Teams）後，今年的FIRSTCON 2025年會中，也申請加入AI安全SIG（Special Interest Group，特殊興趣小組），為的就是要在AI議題上能與全球應變團隊同步。

金慶柏將AI帶來的新形態威脅歐分為兩大類。其一是利用GenAI升級傳統攻擊手法，如自動生成可規避偵測的惡意程式碼，大幅提高攻擊的成功率和規模，或以Deepfake深度偽造影音進行的商業詐騙、提供惡意及錯誤資訊進而造成的商譽衝擊等。

另一類，則是針對AI系統本身的攻擊。即當語言模型或AI系統本身成為企業核心資產時，所產生的新攻擊面（Attack Surface）。

針對新威脅挑戰，華碩資安團隊積極研究全球性權威框架，包括OWASP GenAI Security Project，強化聚焦在應用層的具體風險，例如其發布的LLM Top 10 for 2025提到的提示注入（Prompt Injection）、訓練資料污染（Data Poisoning）、過度代理等風險外，華碩亦密切關注其因應Agentic AI發布的Agentic Security Initiative倡議，而這些也都直接點出了企業導入AI時，必須優先應對的挑戰與緩解策略。

另一權威框架MITRE ATLAS，則提供了完整的攻擊鏈視角，讓防禦方能模擬攻擊者思維，掌握其如何滲透、影響並達成攻擊目的。而這對華碩在反思防禦策略，並建立AI系統的縱深防禦皆極具參考價值。

金慶柏指出，華碩作為國際品牌，銷售全球各地的產品從AI Server、AI Notebook、AI手機到AIoT相關等各式各樣產品線，華碩內部亦成立Gen委員會，在集團全面擁抱AI的主軸下，亦透過AI for Product、AI for Process來改善運作流程，同時與數十家的資安廠商夥伴攜手，針對Threat Intelligence，利用不同的AI／智慧化工具來提升自我防護能力。

不過，即使有再多的防禦工具，「人，是最難控管、也是最大危險因子」，金慶柏直言，全球所有企業發生的資安事故中，有超過一半都是內部員工造成的，因此華碩力行「保密防駭，人人有責」，鼓勵員工考取全球資安認證、並提供相關補助，並依證照難度頒發獎金外，亦透過進釣魚信件、社交工程測試以提升並訓練員工的資安意識，甚至一年間就有多達八次的釣魚測試。

除了人（People），華碩的「PPT」三大資安防護關鍵中，也針對Process流程控管、Technology技術導入等層面貫徹作為，包括全面採用「零信任」身分認證架構，並力行遵循業界資安標準流程、所有產品及服務上線前須經過黑箱、白箱、靜態、動態、滲透測試等風險管理與稽核作業。

另在漏洞處理機制部分，華碩亦已於去年取得CVE編號發放組織（CAN）資格，得負責調查和處理自行發現或外部通報的產品漏洞（vulnerability bug）。

華碩申請加入FIRST期間，內部即藉由資安應變團隊成熟度模型SIM3進行自我評估，此模型亦提供了其應變團隊清晰明確的成熟路徑。金慶柏表示，在加入FIRST後，華碩也將持續系統性地以SIM3評估自身能力，藉此規畫包含組織、人員、工具、程序等多維度的成長藍圖。