超高速資安:Mythos 時代下的資安防護
來自 Fortinet CISO 資安長 Carl Windsor 的觀點
By Carl Windsor | April 20, 2026
AI 正在大幅壓縮資安風險的時間軸,使漏洞揭露與實際攻擊之間的時間差快速縮短。過去需要數週甚至數月才能被發現並利用的漏洞,如今可能在數小時內就被識別並武器化。
然而,這樣的轉變也帶來雙面影響。加速攻擊者行動的同一項技術,也讓防禦方能以前所未有的速度進行偵測、分析與風險緩解。競爭優勢已不再只取決於誰擁有更好的工具,而是誰能在整個資安生命週期中,以更快速、更協同的方式運作。依賴緩慢且零散方法的組織,將難以跟上這樣的節奏。現今的資安,必須成為一套持續且整合的流程,涵蓋開發、偵測與回應。
為了在漏洞遭利用前降低暴露風險,企業已必須導入「預防式資安模型」。這代表需要將 AI 整合至開發、偵測與回應流程,縮短風險緩解週期,將資安直接嵌入系統與工作流程中,並從一開始就以可擴展性為設計核心。能夠快速調整的組織,將具備更高的可視性、控制力與韌性;未能適應者,則將在這個由自動化與規模主導的環境中逐漸落後。
Fortinet 的 AI 發展歷程
AI 在資安產業中並非新概念。自 2015 年起,Fortinet 即在 FortiGuard Labs 中運用 AI 技術,應對威脅研究人員需分析的潛在惡意訊號呈現指數型成長的挑戰。透過機器學習(ML)與人工神經網路(ANN),團隊訓練模型自主辨識惡意檔案,並以高準確率追蹤殭屍網路(botnet)。FortiGuard Labs 每天接收數兆筆訊號,透過 AI 自動分類,讓資安人員能將資源集中於更難偵測的樣本。
自 2015 年以來,部分技術已逐步整合至提供給客戶的產品中,包括:透過 AI 驅動的沙箱分析(FortiSandbox)辨識電子郵件與網路流量中的高風險檔案;端點偵測與回應(FortiEDR)用於識別惡意檔案與異常流量行為;以及網路偵測與回應(FortiNDR)用於發現可疑的網路活動。
生成式 AI(GenAI)進一步賦予系統理解與生成內容的能力。Fortinet 也將此能力應用於多個場景,例如:在 FortiRecon(外部攻擊面監控平台)中生成威脅行為者報告;在 FortiOS(Fortinet 統一網路與資安作業系統)中根據語音指令或白板草圖自動產生設定;以及在 FortiSOC(統一資安營運平台)中進行全網威脅獵捕,並產出 CISO 層級的簡報。
這樣的基礎,讓 Fortinet 能夠將 AI 真正落實於實際營運中,而不僅僅停留在實驗階段。
代理式 AI(Agentic AI)則是下一階段的發展方向,讓這些系統能彼此協作、共享情報、互相推論,並進一步採取行動以達成既定目標。不過,這部分將留待未來文章深入探討,本篇將聚焦於 AI 在資安分析上的應用。
傳統資安工具
多年來,產品資安測試的基本方法並未出現太大改變。在安全產品開發生命週期中,通常會導入多種工具與技術。
靜態應用程式安全測試(SAST)用於分析程式碼,軟體成分分析(SCA)用於識別開源元件中的漏洞,這些都是 DevOps 流程的一部分。此外,動態應用程式安全測試(DAST)與模糊測試(fuzzing),則是在實際運行的系統上進行測試。另有一些更耗費資源、以人為主的方式,例如滲透測試與人工程式碼稽核。
現實情況是,如果你重視資安,就必須同時採用這些方法。更重要的是,往往需要多種工具搭配使用,才能達到良好的覆蓋率。在 Fortinet,我們同時使用三種不同的 SAST 工具,以及多達 10 種 DAST 工具,並結合 SCA、模糊測試、滲透測試與人工程式碼稽核。
然而,我們正處於一個轉折點——這些具有既有限制的傳統靜態工具,正逐漸被新一代前沿 AI 模型所補強,甚至在部分場景中被重新定義。
前沿AI 模型的崛起
AI 的一大優勢,在於讓技術民主化,使原本不在傳統開發體系中的人,也能在短時間內完成整個應用程式的開發。新一代前沿 AI 模型,能以極少的指引快速分析軟體、生成程式碼並模擬工作流程,其速度與效率前所未見。
從資安角度來看,這帶來雙面效應。能夠偵測並修補漏洞的能力,同樣也能將漏洞武器化。對產品資安團隊而言,這不僅是一次技術升級,更是整個威脅版圖的重塑。如同面對傳統工具一樣,Fortinet 也正與 AI 供應商密切合作,包括 Anthropic 及其他前沿 AI 公司,以充分發揮各模型的優勢。
近期,Anthropic Glasswing Project 及其對 Mythos 的預覽引發廣泛關注,並已開放給負責建置與維護關鍵軟體的組織進行早期測試。Fortinet 亦透過該計畫取得 Claude Mythos Preview 的使用權。雖然具體實作與成果尚未公開,但這反映出一個更大的趨勢:前沿 AI 模型在分析、理解與測試複雜系統方面的能力正快速進化。
在與威脅行為者的競爭中保持領先至關重要,因此這種層級的合作具有關鍵意義。真正的問題不在於單一組織如何使用這些模型,而在於這些能力的加速發展,對整體防禦方意味著什麼。
極速資安防護的優勢
新一代前沿 AI 模型,就像是一位全能型的資安明星工程師,結合了頂尖滲透測試專家與程式碼稽核專家的能力。就像《駭客任務》中的 Neo 一樣:「他會功夫」。這些模型對產品的理解甚至可能超越任何單一開發人員,因為它們能掌握完整的程式碼脈絡。這也帶來了一些令人驚嘆,同時略帶不安的能力。
加速漏洞發現
前沿 AI 模型能以遠超傳統方法的速度掃描程式碼並識別漏洞。
過去需要數週甚至數月才能完成的稽核與測試工作,如今可在數小時內完成。這些模型也能協助發現零時差漏洞(zero-day)以及複雜系統中的弱點。
然而,現實是,儘管這些模型幾乎每隔幾天就有所進步,即使是最新的前沿 AI 模型仍可能出現錯誤。誤判(false positive)仍然存在,且部分被識別的漏洞可能早已有其他緩解措施。因此,這些模型應被視為工具,而非最終解決方案。資安分析師的角色並不會消失,仍然需要由他們來引導 AI 模型;更重要的是,驗證其分析結果。AI 所帶來的,是加速分析流程,使資安分析師的生產力大幅提升。
這種對漏洞發現時間的壓縮,能直接縮短暴露風險窗口,讓企業從被動修補轉向主動降低風險。
強化威脅偵測與回應能力
前沿 AI 模型在以下方面表現特別突出:
在龐大的遙測資料(telemetry)中進行關聯分析、即時偵測異常行為模式,並協助 SOC(資安營運中心)團隊進行事件分級(triage)與事件回應。
這些模型就像是不知疲倦的分析師,不會眨眼、不需休息,也不會漏掉任何一筆日誌資料。它們從海量資料中找出關鍵線索的能力,正徹底改變 SOC 的運作模式。
大規模金融安全自動化
過去,資安工程往往受限於人力專業的瓶頸,而前沿 AI 模型正逐步打破這個限制。它們可以生成安全的程式碼架構、自動化滲透測試流程,並模擬複雜架構中的攻擊路徑。
這不僅降低了導入高強度資安實務的門檻,也讓企業能在各種環境中一致地落實高品質的資安防護,而不再僅限於具備專業人力的部分場域。
強化資安專業能力
我認為,前沿 AI 模型並不會徹底顛覆到取代專業人力的程度。高素質的資安專業人員在未來仍將長期存在。這些模型更像是現有資安人員的「能力放大器」:初階工程師可獲得專家等級的指導,資安團隊能大幅擴展其影響力,並根據模型回饋,更精準判斷應從何處開始進行測試;開發人員也能聚焦於最需要重構的部分。
我們在實務中發現,這些前沿 AI 模型帶來的一項意想不到的重要優勢,是其在威脅建模(Threat Modeling)方面的能力。由於模型能掌握完整的產品與資料流資訊,使其能在短時間內建立威脅模型,甚至只需幾分鐘即可完成。而且,由於是基於實際系統運作狀態進行分析,其準確性往往高於依賴開發人員主觀認知所建立的模型。
潛在風險與限制
儘管這些模型在協助產品資安團隊加速改善方面展現出極高成效,但仍存在一些缺點。
降低攻擊門檻
這裡出現了一個令人不安的對稱現象:攻擊者同樣能取得這些工具。也就是說,前沿 AI 模型可以提供過去難以取得的產品內部運作細節、生成漏洞利用程式碼(exploit code)、識別目標系統中的漏洞,並自動化多步驟攻擊鏈。
這使得執行高複雜度攻擊所需的技術門檻大幅降低。過去只有頂尖駭客才能完成的任務,如今正逐漸開放給更廣泛的威脅行為者,進一步增加具備攻擊能力的人數,並加快攻擊速度。
具備快速發現並利用實際系統漏洞能力的 AI 模型崛起,已對金融與醫療等高風險產業帶來警訊。然而,在已整合遙測、控制與回應機制的環境中,防禦方仍具備結構性優勢,能夠以規模化方式偵測並遏止攻擊活動,這是攻擊者難以輕易規避的。
漏洞發現的雙重用途
同一個能協助你修補漏洞的模型,也可能讓他人更快找到漏洞。
AI 能在數秒內比對不同軟體版本並識別差異,可輕易對修補程式(patch)進行逆向工程,並將漏洞識別與漏洞利用開發的時間,從數月壓縮至數小時。
因此,風險暴露的時間窗口被大幅縮短。如果無法快速完成修補,攻擊者將更快完成武器化。最終能脫穎而出的組織,將是那些把風險緩解視為自動化流程,而非人工操作流程的企業。
Fortinet 以 AI 強化產品資安
Fortinet 多年來已運用 AI 強化資安分析能力,包括 AI 輔助的模糊測試(fuzzing)、滲透測試與程式碼分析。像 Mythos Preview 這類前沿模型的出現,是這項發展脈絡的延續,進一步提升軟體分析與測試能力。
這樣的轉變意義重大,但並未改變資安的基本原則。Fortinet 仍維持成熟的漏洞管理與揭露機制,以快速且負責任的方式識別、緩解並修復問題。產品設計遵循「安全內建(secure by design)」、「預設安全(secure by default)」以及「縱深防禦(defense-in-depth)」策略,以降低 AI 加速攻擊所帶來的影響。
對於 Mythos Preview 等前沿模型的使用,亦設有嚴格規範。這些模型僅在受控環境中運行,用於支援 Fortinet 系統中的漏洞發現與修復,不會用於針對外部目標的攻擊性研究。此外,在採取任何行動前,其輸出結果皆會經過既有的資安審查流程進行驗證。
如何在 AI 時代維持防禦優勢
我過去將 AI 視為一種工具,就像任何工具一樣,其價值取決於使用者的能力。然而,隨著近期模型性能大幅提升,我逐漸意識到,這不僅是一項新工具,而已經演變成一場軍備競賽。新一代前沿 AI 模型不只是提升資安能力,更正在重塑網路攻防的經濟結構,而這將迫使我們徹底改變思維模式。
能夠取得前沿 AI 模型,並不代表可以忽略紀律;相反地,這意味著一旦紀律出現問題,其後果將更加嚴重。這些新模型讓威脅行為者能輕易對修補程式進行逆向工程,因此「即時修補」變得至關重要。
用一句話來形容:
- 防禦方獲得速度與規模;
- 攻擊者獲得可視性與自動化;
- 雙方的平衡正在持續變動。
在這樣的新戰場中,企業必須進化,而且必須快速進化。
大幅縮短風險緩解週期
考量到未來逆向工程攻擊發生的速度,我們的主要防禦策略將是「先緩解、後修補」。風險緩解應從最安全的部署方式開始,這也是我們透過「預設安全(secure-by-default)」策略所積極推動的方向,亦是 Fortinet 所承諾的 CISA 倡議之一。
以下以 Fortinet 設備為例,其他廠商原則亦相同:
- 強制執行密碼複雜度政策。
- 啟用多重驗證(MFA)。
- 透過 local-in policy 限制管理介面存取;更理想的做法是,將 FortiGate 的管理存取從對外網路介面移除,改由內部或帶外(out-of-band)方式進行管理。
- 遵循最佳實務設定建議。
- 了解最暴露且最關鍵的攻擊面,並優先強化這些設備的安全性。
- 蒐集所有設備日誌,並在整體基礎架構中持續進行威脅獵捕。
- 確保設備維持最新狀態並完成修補,特別優先處理所有對外公開的設備。
然而,使用 AI 工具的攻擊者能在漏洞公開後數小時內完成利用,因此自動化將成為關鍵,每一秒都攸關能否領先攻擊者。過去以「季度變更窗口」為主的作法已不再適用,速度將成為決勝關鍵。
臨時性緩解措施將變得極為重要。Fortinet 一直推廣「虛擬補丁(virtual patch)」的概念,可在正式修補前,透過類似 IPS 的特徵碼快速緩解風險,甚至在修補程式尚未釋出前就能提供防護。若無虛擬補丁,則仰賴廠商提供明確的替代解法(workaround)將是關鍵。
企業必須從架構設計階段就規劃這樣的轉變。常見的問題是:「現在是報稅季/黑色星期五/聖誕節,無法讓系統停機升級。」這種思維需要改變。
Fortinet 提供零影響升級能力,例如 FortiGate Session Life Support Protocol(FGSP),可同步連線狀態、將設備暫時移出叢集進行修補,再重新加入,全程不影響封包傳輸或網路運作。
像 FortiSOAR(資安協同自動化與回應平台)這類工具,則可透過自動化流程加速各家廠商的修補作業,包括識別存在漏洞的系統、立即套用暫時性緩解措施(如虛擬補丁)、辨識可用修補程式、啟動變更窗口,以及部署修補程式。
結論
作為整體產業合作的一環,來自 Glasswing 等早期存取計畫的洞察,會轉化為匿名化與彙總化的學習成果。其目標在於提升整體資安生態系的基準,而非建立個別優勢,進而協助企業採用更安全的開發與回應實務。
前沿 AI 模型正快速進化,且未來仍將持續加速發展。Fortinet 早已為此轉變做好準備,透過系統化方式在自身程式碼中識別並修復漏洞。過去兩年中,有 68% 的已揭露漏洞為內部發現。這正體現了一種預防式資安模型:在漏洞被外部發現與武器化之前,先行降低風險暴露。隨著 AI 降低漏洞發現門檻,這樣的策略將變得更加關鍵。
風險的時間軸已經改變。偵測、驗證與風險緩解,必須以持續且整合的流程運作。供應商需要在產品生命週期早期導入 AI、縮短修補週期,並採用防禦導向的工程設計,以降低不可避免漏洞所帶來的影響。能做到這一點的企業,將具備更高的可視性與控制能力;反之,則將在競爭中逐漸落後。
資安的關鍵在於穩定且一致的執行力。具備快速回應能力、並由可擴展系統支撐的運作模式,已成為必要條件。而 Fortinet,正是為支援這樣的轉變而打造。
