當 AI 代理人開始替你做事：你準備好面對資安風險了嗎？

2025 年最熱門的技術關鍵字，不再只是「大語言模型」或「生成式 AI」，而是「AI Agent（AI 代理人）」。與傳統的聊天機器人不同，AI Agent 不只是回答問題——它能自主規劃任務、呼叫外部工具、查詢資料庫、甚至代替人類執行操作。從自動化客服回覆、到自動生成財務報表、再到自主管理雲端資源，Agent 的應用場景正在快速擴展。

然而，當 AI 從「建議者」升級為「執行者」，一個根本性的問題浮出水面：你給 AI 的權限，安全嗎？

AI Agent 帶來的三大資安新挑戰

第一，「Prompt Injection（提示注入攻擊）」——攻擊者透過精心設計的文字輸入，誘導 AI Agent 執行非預期的操作。例如，在一封看似普通的客戶郵件中嵌入隱藏指令，讓處理郵件的 AI Agent 把機密資料轉寄到外部信箱。這種攻擊之所以危險，是因為傳統的防火牆和入侵偵測系統完全無法辨識——它看起來就是一段正常的文字。

第二，「過度授權（Over-Privileged Agents）」——為了讓 Agent 順利完成任務，開發者往往給予過多的系統權限。一個原本只需要讀取客戶資料的 Agent，卻被賦予了修改和刪除的權限。一旦 Agent 被攻擊者利用，或者因模型幻覺做出錯誤判斷，後果可能是大規模的資料洩露或損毀。

第三，「供應鏈風險（Third-Party Tool Chain）」——AI Agent 通常會串接多個外部服務和 API。每一個串接點都是潛在的攻擊面。如果 Agent 使用的某個第三方套件被植入惡意代碼，或者某個 API 的認證機制被破解，整個 Agent 系統都會暴露在風險之中。

真實案例：當 Agent 說了不該說的話

2024 年底，某跨國企業的內部 AI 助理發生了一起資安事件。這個 Agent 被設計來協助員工查詢公司政策與 HR 資訊，底層連接了內部知識庫與員工資料庫。一名員工透過巧妙的提問方式，成功讓 Agent 洩露了其他同事的薪資資訊。

問題的根源在於：Agent 在回答時只檢查了「這筆資料是否存在」，卻沒有檢查「這個人是否有權限看到這筆資料」。傳統系統的存取控制（RBAC）在 Agent 的對話介面中完全失效了——因為 Agent 用自己的系統帳號查詢，繞過了使用者層級的權限控管。

企業部署 AI Agent 的五道防線

基於我們的實務經驗與最新的資安研究，村上建議企業在部署 AI Agent 時建立五道防線：

第一道「最小權限原則」——永遠只給 Agent 完成任務所需的最小權限。讀取就夠的，不要給寫入權限。能限定資料範圍的，不要給全域存取。這聽起來是常識，但在實務中最常被忽視。

第二道「輸入過濾與驗證」——在 Agent 處理任何外部輸入之前，先用獨立的過濾層檢查是否包含潛在的 Prompt Injection 攻擊。這包括檢測隱藏指令、異常格式、以及與正常輸入明顯偏離的語意模式。

第三道「行為沙箱」——Agent 的每一個「行動」都應該在受控的環境中執行。高風險操作（如刪除資料、發送外部郵件、修改系統設定）必須經過人類確認，不能由 Agent 自主完成。

第四道「完整的稽核日誌」——記錄 Agent 的每一次查詢、每一個 API 呼叫、每一個決策依據。當事件發生時，這些日誌是還原現場與追究責任的唯一依據。

第五道「定期紅隊測試」——主動模擬攻擊者的角度，嘗試突破 Agent 的防線。包括 Prompt Injection 測試、權限繞過測試、以及資料外洩測試。不要等到真正被攻擊才發現漏洞。

資安不是 AI 的對立面

有些企業因為擔心資安風險而完全拒絕 AI Agent，這跟因為怕出車禍而拒絕開車一樣不切實際。正確的做法是：理解風險、建立防線、持續監控。AI Agent 的價值是真實的，但前提是你必須為它設計安全的運行環境。

在村上，我們不只幫客戶建立 AI 應用，也同步設計資安架構。因為我們深知：一個沒有安全防護的 AI 系統，不是資產，而是負債。