Flashpoint 的 2026 全球威脅情報報告揭露了一個數字:2025 年 11 月到 12 月之間,地下論壇裡關於「用 AI 做壞事」的討論從 36.2 萬則暴增到超過 600 萬則。漲幅 1,500%。

這不再是「用 ChatGPT 寫釣魚信」的等級。攻擊者已經建出了全自動化的 agentic 攻擊框架——能自主執行偵察、產生釣魚內容、測試竊取的憑證、輪換基礎設施,整個過程不需要人類持續介入。

從好奇到量產:地下論壇裡發生了什麼

Flashpoint 的研究團隊分析了 2025 年 1 月到 7 月間數十個網路犯罪論壇的對話。活動集中在 XSS、BreachForums、Dread 和 Exploit.in 這幾個知名平台。

四個主題佔據了絕大部分討論:

  1. 劫持主流 AI 服務:繞過 ChatGPT、Claude 的安全限制,讓它們產生惡意內容
  2. 推銷犯罪用 AI 產品:專門為攻擊設計的 AI 工具,在論壇上像 SaaS 一樣販售
  3. 微調模型做特定攻擊:針對特定產業或攻擊類型調整模型
  4. 討論操作風險:用 AI 攻擊時如何避免被追蹤

到了 11、12 月,討論量的爆發意味著社群從「研究探索」轉入了「工業化生產」。

Agentic 攻擊框架的實際結構

傳統的網路攻擊是線性的:人類駭客做偵察、找漏洞、寫 exploit、手動執行。Agentic 攻擊框架把這整條鏈自動化了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
┌──────────────────────────────────────────┐
│            Agentic Attack Chain           │
├──────────────────────────────────────────┤
│                                          │
│  偵察 Agent                               │
│  ├─ 自動掃描目標的公開資訊                   │
│  ├─ 分析員工社群媒體(LinkedIn、X)          │
│  └─ 建立目標組織的人員和系統關係圖             │
│           │                              │
│           ▼                              │
│  釣魚 Agent                               │
│  ├─ 根據偵察結果產生個人化釣魚內容            │
│  ├─ 即時調整:第一封沒回?自動換策略          │
│  └─ 持續學習哪種措辭最有效                   │
│           │                              │
│           ▼                              │
│  憑證測試 Agent                            │
│  ├─ 自動測試竊取的帳號密碼                   │
│  ├─ 輪換 IP 和代理伺服器避免封鎖             │
│  └─ 成功登入後自動提取有價值的資料            │
│           │                              │
│           ▼                              │
│  基礎設施 Agent                            │
│  ├─ 自動輪換 C2 伺服器                     │
│  ├─ 清除鑑識痕跡                           │
│  └─ 在被偵測前自動遷移                      │
│                                          │
└──────────────────────────────────────────┘

每個環節都是獨立的 agent,彼此協調但不需要人類指揮。失敗了會自動調整策略重試。

真實案例

報告裡提到了幾個已經被觀察到的 agentic 攻擊行為:

  • FANCY BEAR(俄羅斯背景威脅行為者)部署了 LLM 驅動的惡意軟體 LAMEHUG,自動化偵察和文件收集
  • PUNK SPIDER(網路犯罪組織)用 AI 產生的腳本加速憑證傾倒,並自動清除鑑識證據
  • 有攻擊者鎖定 FortiGate 防火牆,在取得存取權後用 agentic 方式自動化橫向移動和偵察

自適應釣魚:為什麼比傳統釣魚危險十倍

傳統釣魚是撒網式的——同一封信寄給幾千人,命中率低但靠量取勝。

Agentic 釣魚是自適應的。AI agent 會:

  1. 根據目標的社群媒體、職位、近期活動,產生高度個人化的訊息
  2. 第一封沒成功?自動調整語氣、情境、社交工程手法
  3. 從每次互動中學習,持續優化哪種方式最有效
  4. 同時對數千個目標執行,每個目標收到的內容都不同

這是一個回饋迴圈。每次失敗都在改善下次攻擊的成功率。傳統的安全意識培訓——「不要點來路不明的連結」——在面對持續進化的個人化攻擊時,效果會大幅下降。

數字的規模

Flashpoint 觀察到 2025 年有超過 1,110 萬台機器被資訊竊取程式感染,產生了 33 億筆被洩漏的憑證和雲端 token。

33 億。這些洩漏的憑證就是 agentic 攻擊框架的彈藥庫。自動化的憑證測試 agent 可以日夜不停地用這些資料嘗試登入各種服務。

防禦者該做什麼

如果你是開發者或維運工程師,以下是具體的防禦措施:

1. 假設你的使用者憑證已經被洩漏

33 億筆洩漏的憑證不是假設,是現實。

1
2
3
4
5
6
7
8
9
10
11
# ✅ 在登入流程中檢查已知洩漏的憑證
# 使用 Have I Been Pwned API 或類似服務
import httpx

async def check_compromised_password(password_hash: str) -> bool:
    prefix = password_hash[:5]
    resp = await httpx.get(
        f"https://api.pwnedpasswords.com/range/{prefix}"
    )
    suffix = password_hash[5:].upper()
    return suffix in resp.text

2. MFA 不是選項,是基線

Agentic 攻擊框架可以自動測試帳號密碼,但很難自動化繞過硬體安全金鑰或 TOTP。

  • 對內部系統強制 MFA
  • 對外部使用者至少提供 MFA 選項並強力推薦
  • 優先選擇 FIDO2/WebAuthn,而不是 SMS OTP

3. 監控異常的自動化行為模式

Agentic 攻擊的特徵是:高速、有規律、24 小時不停。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# ✅ 偵測 agentic 行為模式的簡化邏輯
def detect_agentic_pattern(login_attempts: list[dict]) -> bool:
    if len(login_attempts) < 10:
        return False

    # 檢查時間間隔是否異常規律(人類不會精確地每 2.3 秒試一次)
    intervals = [
        login_attempts[i+1]["timestamp"] - login_attempts[i]["timestamp"]
        for i in range(len(login_attempts) - 1)
    ]
    avg = sum(intervals) / len(intervals)
    variance = sum((x - avg) ** 2 for x in intervals) / len(intervals)

    # 極低的變異數 = 自動化行為
    return variance < 0.5 and len(login_attempts) > 50

4. 對你的 AI agent 也要做安全設計

如果你正在建 AI agent 產品,你的 agent 也可能被武器化或被攻擊。

  • 限制 agent 的操作範圍(最小權限原則)
  • 敏感操作強制人工確認
  • 記錄所有 agent 操作的完整日誌
  • 對 agent 的輸入做注入檢測

這個趨勢的走向

1,500% 的討論量成長意味著 agentic 攻擊不再是概念驗證,而是正在被工業化。攻擊者的效率提升速度可能比防禦者更快,因為他們沒有合規、審計、「先讓法務看一下」這些摩擦力。

對做安全相關開發的人來說,2026 年的挑戰不是「AI 會不會被用來攻擊」,而是「你的防禦系統能不能跟上 agentic 攻擊的自動化和自適應速度」。

攻擊者的 AI agent 已經 24 小時在跑了。你的防禦還在等人類上班?