人工智慧攻擊不再是實驗性的:2026 年 3 月至 4 月人工智慧威脅情勢的主要發現

2026 May 25

從 2025 年 12 月下旬到 2026 年 2 月中旬,Gambit 發現一名駭客入侵了九個墨西哥政府機構,在為期兩個月的行動中獲取了稅務記錄、民事登記資料、病人檔案和選舉基礎設施。  

這次攻擊的驚人之處不在於其規模,而在於其方法:攻擊者利用商業人工智慧技術執行整個攻擊行動,負責漏洞利用工作,研究人員直到從攻擊者控制的伺服器中恢復相關資料後才發現真相。人工智慧並非後台運作的生產力工具,而是這次攻擊的核心。 

Check Point Research 發布的《2026 年 3 月至 4 月威脅情勢摘要》記錄了此次安全漏洞以及其他幾起案例,這些案例共同證實了業界一直在關注的一件事:人工智慧攻擊已經從實驗階段進入了常規犯罪部署階段。

主要發現:數據究竟告訴了我們什麼  

Check Point 研究團隊發布的 2026 年 3 月至 4 月威脅情勢摘要揭示了業界一直在防範的情況:人工智慧已從研發階段進入實際攻擊部署階段。以下是重點內容:  

  • 人工智慧操控的攻擊已經從實驗性的、國家支持的應用發展到如今被犯罪者廣泛部署。一名操作員,九個政府機構,執行了超過5000條人工智慧指令。墨西哥的資料外洩事件表明,這種能力不再局限於國家行為體。如今,以經濟利益為目的的犯罪分子正在大規模地利用它。
  • 智能體的配置正被用作持久越獄的攻擊手段。攻擊者不再與人工智慧的安全控制機制對抗,而是直接修改其運作規則。透過在人工智慧編碼工具啟動時自動載入的設定檔中植入惡意指令,攻擊者可以一次覆蓋模型行為,並使其在所有會話中靜默生效,甚至在開發者毫不知情的情況下也能生效。 
  • 人工智慧攻擊平台正在將人工智慧功能商業化。 EvilTokens將完整的人工智慧攻擊流程打包成一款任何犯罪者都能購買的產品。模型選擇、越獄和輸出交付全部在背景完成。這套複雜的系統只需建置一次,即可自動交付給每位客戶,大幅降低了執行進階人工智慧詐欺的門檻。
  • 人工智慧提供者的憑證已成為高價值的攻擊目標。除了傳統的憑證外,Anthropic、OpenAI、Groq、Mistral 等公司的 API 金鑰也正被蓄意竊取。被盜的金鑰使攻擊者無需帳戶即可存取強大的 AI 服務,使其操作看起來像是來自合法用戶,而且一旦被盜,提供者很難將其關閉。

圖 1 – 使用者共享非限制/非監控的 AI 助理推薦表

事件的來龍去脈  

墨西哥:一家運營商,九家代理機構  

墨西哥攻擊者所建構的架構值得詳細了解,因為它幾乎肯定在其他地方被複製。  

攻擊者並行運作了兩套商用人工智慧系統,一套負責即時攻擊,另一套處理收集到的資料並將指令回饋給第一套系統。原本需要專業團隊才能完成的認知負荷,在長達數週的持續攻擊中,都由這套系統自動循環處理。 

這種越獄方法簡潔巧妙。 攻擊者沒有與人工智慧爭論,而是改變了人工智慧的運作環境。 他們只需修改人工智慧啟動時讀取的文件,並在其中嵌入指令,後續所有會話都會毫不猶豫地繼承這些指令。從那時起,人工智慧就按照攻擊者的規則運行,而不是開發者的規則。攻擊者實際上是在架構層面而非對話層面重新編程了人工智慧的預設行為。  

EvilTokens:越獄即產品功能  

EvilTokens 就是將這類能力打包成產品並商品化的產物。買家購買存取權限後,會收到人工智慧產生的、模仿目標使用者風格的釣魚郵件,系統會自動從數千個郵箱中提取財務數據,並發送精心設計的虛假日曆邀請,以施壓要求匯款。買家完全看不到其中的複雜性。這種社交工程攻擊透過各種管道自動協調進行。 

圖 2 – 日曆邀請模組使用者介面,包含寄件者欺騙部分 – 來自 EvilTokens 的推廣論壇帖子

一場無人獲勝的脆弱性競賽  

人工智慧正在揭示核心基礎設施中數十年來未被發現的漏洞,另一方面,攻擊者卻能在數小時內將新發布的安全公告轉化為可利用的攻擊手段。過去,漏洞揭露與利用之間的時間間隔以週計算,而現在則以小時計算。 那些每月才發布補丁的組織, 其安全速度已經過時了。  

這對組織意味著什麼  

本報告中所有案例的主線都是一樣的: 人工智慧正在壓縮時間、擴大規模,並降低執行複雜攻擊所需的技能門檻。

根據人類攻擊節奏調整的防禦措施並不適用於這種環境。各組織需要直接考慮以下幾個問題: 

  • 影子人工智慧是一個資料外洩問題。五分之一的企業人工智慧提示包含潛在的敏感訊息,而大多數組織對發送到哪些工具的訊息缺乏足夠的可見性。
  • AI設定檔如今已成為供應鏈風險。惡意檔案存在於拉取請求或被入侵的程式碼庫中,可以在未經任何人工審核的情況下悄無聲息地重新定義AI代理的行為。這些文件需要像第三方程式碼相依性一樣受到嚴格審查。
  • AI憑證需要與雲端存取金鑰同等的保護。它們提供持久存取權限,容易導致身分誤判,並且正被大規模地主動收集。
  • 補丁更新周期需要加快。漏洞公開披露後數小時內,就會出現可用的攻擊手段。每週或每月的補丁審查週期已經無法跟上威脅出現的速度。

歸因差距是結構性的。本報告中記錄的每項操作都是透過攻擊者的錯誤或服務提供者的監控發現的,而非透過受害者端的控制措施發現的。人工智慧執行的命令看起來像是熟練的人類活動。僅依賴行為偵測的組織無法了解全貌。  

確保未來發展  

Check Point 處理這種環境的方法是基於一個原則:預防至上。對付人類攻擊者的有效反應時間,對付機器速度的攻擊則毫無作用。等到警報響起時,人工智慧早已採取行動。  

確保人工智慧轉型安全 意味著 保護整個人工智慧堆疊,從日常使用人工智慧工具的員工,到利用人工智慧功能建構的應用程序,再到 跨系統運行的自主代理。 此外,也意味著保護人工智慧流量所經過的網路基礎設施,從防火牆到資料中心。 

  • Workforce AI Security讓安全團隊能夠了解和控制員工的 AI 使用情況,從而即時執行策略並防止敏感資料外洩。
  • AI  Agent Security為企業建置的代理程式提供端到端的保護,從發現現有代理程式並評估風險,到執行時間強制執行,在不安全操作執行之前阻止它們。 
  • MCP Security驗證了 ChatGPT、Claude 和 Gemini 等大型語言模型是否具有嚴格的基於策略的授權機制,以存取企業資料庫、敏感檔案和外部開發工具(例如 GitHub)。
  • 生成式人工智慧安全解決方案使企業能夠全面了解並控制員工對生成式人工智慧工具的使用情況,從而防止資料遺失或濫用。
  • AI原生應用程式安全性可保護API和私有大型語言模型免受專門的AI攻擊,包括提​​示注入、資料投毒和模型濫用。 
  • AI Factory Firewall可保護 AI 資料中心中的私人企業級 LLM 和 NVIDIA AI GPU 伺服器集群,它以容器化防火牆的形式運行,不會影響 GPU 效能。

威脅情勢發生了變化,安全態勢也必須隨之改變。 

想了解全貌?請點擊此處閱讀完整的《2026年3月至4月人工智慧威脅情勢摘要》 。 

文章來源/Check Point Blog Check Point Blog

返回