AI資安新興技術展望[轉載自iThome]

最近AI資安創新技術發展的消息當中，產業與政府領域陸續出現利用AI偵測漏洞、甚至修補漏洞的重大突破

文/李宗翰|2025-10-17發表

最近AI資安創新技術發展的消息當中，產業與政府領域陸續出現利用AI偵測漏洞、甚至修補漏洞的重大突破。

例如，Google旗下的Project Zero與DeepMind合作發展的Naptime，以及後繼的Big Sleep，都是以大型語言模型（LLM）輔助資安漏洞研究的專案，該公司陸續揭露以此發現的資料庫系統SQLite的漏洞CVE-2025-6965，以及瀏覽器Chrome的記憶體越界寫入漏洞CVE-2025-9132，到了今年10月，DeepMind公布新AI代理CodeMender，號稱可自動發現並修補軟體漏洞。

微軟也積極發展這方面的應用，先是在今年的3月底，公開利用Microsoft Security Copilot加快漏洞發現流程，涵蓋GRUB2、U-boot、Barebox等開放原始碼的系統開機啟動軟體，到了8月，他們揭露惡意軟體分類AI代理Project Ire的原型。

而在iThome電腦報週刊10月第三週的封面故事當中，我們想對大家介紹一個由國家政府推動的AI資安競賽，呈現AI資安技術發展的新方向。

這個特別的活動，是美國國防高等研究計畫署（DARPA）主辦的AI網路挑戰賽（AI Cyber Challenge，AIxCC），透過號召各方高手比賽的形式，推動AI驅動的資安工具發展，自動保護國家的關鍵基礎設施（CI）。今年8月最終決賽成績揭曉，全世界都看到優秀參賽隊伍設計的自動化網路推理系統（Cyber Reasoning System，CRS）成效，了解自動偵測漏洞、生成修補程式、分析漏洞報告的可行性。

除了大型科技主導的研究，以及政府推動的技術競賽，在市場調查研究機構的觀察分析，也可以看到AI資安下一波的發展重點。

根據Gartner發布的《2025年新興技術成熟度曲線報告》，特別點名機器客戶（Machine Customers）、AI代理（AI Agents）、決策智慧（Decision Intelligence）、可程式化貨幣（Programmable Money），其中AI代理與決策智慧這兩類產品，被認為2至5年將成熟。

而在資安方面，Gartner將科技與社會的脆弱（Techno-societal fragility）列入評估的主題，突顯他們對此議題的重視。以2至5年內將趨於成熟的產品，Gartner認為有下列技術：機密運算（Confidential Computing）、密碼學敏捷性（Crypto-Agility），5至10年成熟的產品，則是：同態加密（Homomorphic Encryption）、數位免疫系統(Digital Immune System)、假資訊防護（Disinformation Security）。

Gartner表示，地緣政治的緊張與生成式AI的興起帶來新的風險，助長大家對於資料安全、隱私保護，以及數位與實體基礎架構韌性的擔憂，單靠傳統安全措施不足以因應這些不斷演進的威脅。因此，他們建議企業與組織應優先考量與韌性(resilience)有關的創新技術，像是機密運算、數位免疫系統、密碼學敏捷性，在此同時，也須積極強化假資訊防護，確保科技主權，以及採用具有能源再生、能源效率的建築（resource-positive buildings）。

上述顯然是從整體資安防護的角度考量AI資安新興技術的未來發展與應用，接下來，我們可以看看稍早發布的其他資安技術成熟度曲線報告。

例如，在資安維運（Security Operations）這類解決方案當中，與AI資安防護相關的技術，像是：AI SOC代理、自動資安控管評估、網路安全AI助理，均需要5至10年成熟。

在網路風險管理（Cyber-Risk Management），包含上面提到的網路安全AI助理在內，AI信任、風險和安全管理（AI TRiSM），以及網路風險管理的AI應用，也是5至10年成熟。

關於應用程式安全（Application Security），2至5年成熟的AI資安技術類型，主要是AI程式碼安全助理，5至10年成熟的類型，包括模型上下文協定（MCP）、AI安全性測試、AI閘道、AI執行時期防禦（AI Runtime Defense）；資料安全的部分，2至5年成熟的AI資安技術類型，包括：AI信任、風險和安全管理，以及2025新興技術報告提到的密碼學敏捷性、機密運算，5至10年成熟的類型，有AI安全態勢管理（AI SPM）、AI執行時期防禦，以及2025新興技術報告提到的同態加密。