文/王珮瑤|2026-01-02發表
Photo by Steve Johnson on Unsplash
隨著AI技術高速發展,公私部門在營運與資安防護上,同時面臨新機會與新挑戰。為此,美國國家標準與技術研究院(NIST)於2025年12月發布《AI網路安全框架應用藍圖》(Cybersecurity Framework Profile for Artificial Intelligence,Cyber AI Profile)草案,簡稱Cyber AI應用藍圖,此份文件的編號為NIST IR 8596,作為其廣泛獲外界採用的網路安全框架NIST CSF(Cybersecurity Framework)的延伸配套,協助組織在導入AI的同時,更有系統地管理相關資安風險。
NIST以「社群應用藍圖」(community profile)一詞,描述CSF 2.0在製造、金融、電信等產業之間,針對共同關注議題與目標的應用方式,如今也進一步將AI納入社群應用藍圖行列。
將AI資安風險納入CSF 2.0,聚焦三大關注領域
Cyber AI應用藍圖的內容,圍繞三個彼此關聯的關注領域(Focus Areas)展開,並依據CSF 2.0核心功能進行細分。
圖片來源/NIST
根據資安院的說明,Cyber AI應用藍圖第一個關注領域為「確保AI系統安全(Securing AI Systems)」,聚焦組織在將AI整合至既有IT與營運生態系時的資安挑戰,涵蓋資料供應鏈、模型訓練與部署環境的安全性,同時因應資料中毒、模型竊取與對抗式輸入等新型態風險。
第二個關注領域為「利用AI賦能進行網路防禦(Conducting AI-enabled Cyber Defense)」,著重於運用AI提升入侵偵測、告警過濾與異常分析等防禦效率,但同時提醒組織需留意AI誤判風險與生成式AI的幻覺問題,並維持必要的人類監督。
第三個關注領域則是「抵禦AI賦能的網路攻擊(Thwarting AI-enabled Cyberattacks)」,協助組織因應攻擊者利用AI提升攻擊速度與精準度的趨勢,包括更精密的魚叉式網路釣魚、深偽技術詐欺與自動化弱點利用攻擊。
2026年將推出正式版本
Cyber AI應用藍圖草案是NIST資安與AI專家歷時一年完成的成果,期間吸引超過6,500名產官學界人士參與。NIST已於2025年12月16日啟動為期45天的公開意見徵詢,預計於2026年推出首個公開版本。
延續AI資安指引布局,銜接AI風險管理框架
Cyber AI應用藍圖也是NIST近年AI資安指引布局的一環。先前NIST已發布《AI風險管理框架》與《生成式AI設定檔》,2025年8月也發布相關文件,說明如何運用既有資安控制項目強化AI系統安全。
NIST Cyber AI應用藍圖重點一覽
● NIST發布《Cyber AI應用藍圖》(Cyber AI Profile)草案,作為CSF 2.0因應AI風險的延伸配套
● 內容聚焦AI系統安全、AI輔助資安防禦與AI輔助攻擊防護三大面向
● NIST已啟動公開意見徵詢,預計於2026年推出正式版本
線