在2025年黑帽美國大會（Black Hat USA 2025）上，資安公司Zenity技術長Michael Bargury揭露一項令人震驚的研究，指出現代生成式人工智慧（AI）代理已「長出手腳」，能深度整合企業環境，存取電子郵件、文件及行事曆等敏感資料，卻也開啟全新攻擊面。Bargury警告，外部攻擊者僅需受害者電子郵件地址，即可透過零點擊攻擊完全接管這些AI代理，竊取資料並操縱使用者，嚴重威脅企業安全。專家呼籲，組織須建立專屬AI資安程序，而非依賴供應商修補漏洞。

 

Bargury在接受Dark Reading資深新聞主任Rob Wright訪談時，詳細說明其名為「AI企業妥協：零點擊攻擊方法」的演講內容。這項研究聚焦於AI助理及代理的演進，強調過去一年來，這些系統已從單純對話工具轉變為具行動能力的實體，能代表使用者執行任務。透過與微軟（Microsoft）、Google Workspace及Salesforce等企業平台的整合，AI代理可輕鬆存取敏感資源，例如閱讀機密文件、建立行事曆邀請，甚至連結開發環境，存取原始碼及機密金鑰。

 

「這些AI系統如今已長出手腳，能在我們的名義下行動，」Bargury表示，「它們能存取你的電子郵件、文件及行事曆，執行各種操作。」然而，這種便利性也帶來巨大風險。一旦攻擊者控制這些代理，便可將其轉為自身工具，達成惡意目的。研究顯示，此類攻擊適用於主流AI助理，包括微軟Copilot、Google Gemini、OpenAI、Salesforce及Carousell等，幾乎涵蓋所有主要供應商。

 

訪談中，Wright詢問AI代理如何「長出手腳」，Bargury解釋，這源於企業環境的快速整合。只需幾次點擊，用戶即可將AI連結至微軟套件、Google Workspace或Salesforce，讓代理如真人般互動。若代理連結開發環境，甚至能存取使用者機器上的機密及原始碼，造成潛在破壞。「有些人甚至將代理連結至生產系統，」Bargury補充，「這意味代理擁有與使用者相同的權限，風險極大。」

 

更令人不安的是，Bargury揭露的零點擊攻擊方法。攻擊者無需憑證或使用者互動，僅需知道受害者電子郵件地址，即可完全接管私人AI對話及代理。「這是外部攻擊者從網路上發動的攻擊，」Bargury強調，「他們能利用連結器（connectors）竊取所有資料。」更糟的是，攻擊者可操縱AI代理，誤導使用者。既然人們視AI為可信顧問，攻擊者可透過偽造回應，將使用者「引向懸崖」，例如誘導點擊惡意連結或洩露更多機密。

 

Wright表達擔憂，質疑AI代理是否讓我們更不安全。Bargury承認風險存在，但他強調：「我每天都使用AI，不是要大家停止使用，而是意識到這是全新攻擊面。」過去一年，資安產業聚焦於提示注入（prompt injection）攻擊，試圖比擬SQL注入，透過資料淨化及分離指令來防禦。但Bargury直言，此方法進展有限。「大多數供應商只是將已知惡意提示列入黑名單，」他說，「這無法有效應對。」

 

相反，Bargury主張採用「深度防禦」（defense in depth）策略，而非依賴AI內建護欄（guardrails），這些軟邊界易被攻擊者繞過。「我們應假設入侵已發生，」他建議，「設計系統以降低攻擊影響。」這包括硬邊界如權限控制、持續監測及分離環境。Bargury比喻當前AI資安狀態如「回到90年代」，當時駭客輕鬆入侵系統，而企業對新技術的狂熱遠超安全成熟度。「我們正將AI部署至全球最大企業，卻未做好準備，」他警告。

 

訪談提及，許多組織誤以為供應商能「修補」問題，但Bargury澄清：「這不是漏洞，而是需管理的風險。」他比擬惡意軟體（malware），每發現新變種，不會要求微軟修補Windows，而是建立全面防禦程序。「AI供應商需參與，但責任在整個產業，」Bargury說。對於Fortune 500企業，若已廣泛採用AI代理，卻無專屬資安程序，「你已落後，因為攻擊已發生—只需分享文件、發送郵件或行事曆邀請。」

 

這項研究與近期相關事件呼應，例如Workday資料外洩疑與ShinyHunters對Salesforce攻擊有關，以及微軟修補特權提升漏洞。Bargury的發現凸顯AI代理的雙面刃：提升生產力卻擴大攻擊面。Wright在訪談結尾表示：「聽起來很可怕。」Bargury回應，他樂於分享研究，並期待演講激發討論。

 

台灣資安專家分析，此類零點擊攻擊對本地企業構成威脅，尤其科技業及金融機構廣泛採用AI工具。行政院資通安全處應加強監管，推動AI資安指南。企業可參考Bargury建議，建立AI專屬安全程序，包括定期紅隊測試、權限最小化及異常偵測。供應商如微軟及Google雖積極回應，但需與社群合作尋找緩解方案。

 

 

隨著AI技術加速融入企業，平衡創新與安全的挑戰日益嚴峻。Bargury樂觀表示：「我看到供應商在努力，與社群合作。」但他提醒，若組織仍視AI資安為「他人責任」，風險將持續放大。黑帽大會此議題引發熱議，預期將推動全球AI防禦標準化。台灣企業應及早行動，避免成為下一個受害者。