隨著AI技術進步，深度偽造攻擊在企業及政府機構中日益猖獗，OpenAI於10月7日發布研究顯示，犯罪及國家級團體利用大型語言模型（LLM）優化攻擊流程，製作更逼真釣魚誘餌及惡意軟體。Ironscales於10月9日調查報告指出，85%中型企業遭深度偽造及AI語音詐欺嘗試，55%蒙受財務損失，平均每家損失16.7萬美元（約新台幣530萬元）。儘管多數企業意識到威脅，但僅三分之一投資防禦工具，呈現準備悖論。資安專家警告，台灣企業AI轉型加速，此類攻擊將加劇，呼籲強化意識訓練、多層授權及AI偵測工具，防範BEC及語音詐欺導致巨額損失。

 

OpenAI報告顯示，駭客利用LLM如ChatGPT，提升攻擊效率，生成個人化釣魚郵件及惡意程式碼，降低技能門檻。Ironscales調查500家美國中型企業（1,000至10,000員工），發現深度偽造影像及AI輔助商業電郵詐欺（BEC）最常見，59%企業遇此威脅。超過40%遭深度偽造音頻及影片攻擊，平均損失16.7萬美元，中位數28萬美元，5%企業損失逾百萬美元。Ironscales CEO Eyal Benishti表示：「深度偽造威脅景觀極為動態，靜態影像及電郵仍最常見，但各類深度偽造快速增長。」他強調，攻擊者利用公開資料訓練「人類數位雙胞胎」，結合語音樣本製作逼真音頻，微軟曾因濫用疑慮擱置Teams語音克隆功能。

 

CrowdStrike 2025威脅獵捕報告預測，2025年音頻深度偽造數量將翻倍。Ironscales調查顯示，88%企業過去一年提供深度偽造訓練（2024年68%），近九成資安專業人士自信企業防禦能力，75%「非常自信」。但現實殘酷，多數企業未能擋下攻擊，71%視深度偽造防禦為未來1至1.5年首要優先，卻僅三分之一投資AI增強威脅防禦工具。Benishti指出：「企業嚴肅看待威脅，但防禦落後，釣魚從廣撒網轉為個人化誘餌，AI生成電郵難辨真偽。」Qualys資安威脅情報產品經理April Lenhard表示：「深度偽造照片模糊真假界線，AI電郵如真老闆或家人訊息，危險性大增。」

 

攻擊多樣化：靜態深度偽造影像佔59%，AI-BEC次之，音頻及影片超過40%。Ironscales報告顯示，企業損失中位數28萬美元，凸顯中小企業脆弱。Darktrace資安及AI策略資深副總裁Nicole Carignan警告：「AI降低攻擊門檻，提升品質，深度偽造難偵測，需AI輔助工具，人力無法獨撐。」她強調，防禦者需跟上攻擊速度，否則不平衡將惡化。

 

企業防禦策略需多管齊下。Benishti建議制定政策，防止單人錯誤導致入侵：「所有轉帳、發票付款及薪資事宜，新請求須多層授權，金額越大越嚴格。」Ironscales強調，工具可攔截威脅前郵件，維持員工生產力，而非僅靠辨識釣魚。Carignan呼籲轉向AI增強偵測，融合自動化及人類分析。Lenhard指出，教育員工辨識AI電郵及影像，但需結合技術，如水印驗證及行為分析。

 

台灣資安專家分析，此威脅對本土企業衝擊巨大。台灣AI轉型加速，金融及科技業易遭BEC及語音詐欺。行政院國家資通安全會報表示，將推廣深度偽造防禦指南，鼓勵企業投資AI工具及訓練。金管會亦提醒銀行強化語音驗證及多層授權。趨勢科技台灣區總經理洪偉淩受訪時指出：「深度偽造攻擊2025年將翻倍，台灣企業85%遇此威脅，平均損失逾500萬台幣。需從意識訓練入手，結合AI偵測，防範如Salt Typhoon的國家級APT利用AI優化攻擊。」他建議，部署郵件閘道過濾AI生成內容、監控異常轉帳，並定期紅隊測試社工攻擊。

 

此事件與近期資安趨勢呼應，如Klopatra木馬夜間轉帳、Cisco零日漏洞遭APT利用，顯示AI輔助釣魚興起。OpenAI及Ironscales報告強調，企業需視深度偽造為首要優先，否則金融損失將雪上加霜。台灣政府可借鏡歐美，強制中大型企業年度深度偽造演練。企業防禦之道包括：多層授權轉帳、使用AI過濾工具、員工訓練辨識假電郵及影像。隨著AI普及，此類攻擊料將頻發，台灣需加速投資，確保數位轉型安全。

 

 

出處：Dark Reading 作者：Ericka Chickowski，資安新聞資深作家