Verizon商業部門最新發布的「2026年資料外洩調查報告」（DBIR）顯示，漏洞利用已成為企業資料外洩最主要的初始入侵途徑，占比高達31%，較前一年大幅上升。同時，企業對關鍵漏洞的修補率卻持續下滑，僅26%完成完全修復，凸顯全球資安防禦正面臨「漏洞氾濫」與「修補落後」的雙重危機。台灣作為全球科技供應鏈核心，企業與關鍵基礎設施暴露風險更高，應高度重視。

 

根據Verizon 2026 DBIR，漏洞利用已超越其他攻擊向量，成為最常見的初始存取方式。報告指出，2025年企業僅修復26%的關鍵漏洞（CISA已知被利用漏洞清單），較2024年的38%明顯下降；58%僅部分修復，16%則完全未處理。中位修復時間也從32天延長至43天，企業需修補的關鍵漏洞數量較前一年增加50%。這與2025年DBIR原本呈現的改善趨勢背道而馳。

 

更令人憂心的是，漏洞偵測量呈爆炸性成長。2022年資料集中有6,870萬筆紀錄，2025年暴增至5.273億筆，成長近8倍。主要原因在於AI輔助漏洞狩獵技術普及，攻擊者與防禦者皆大量運用大型語言模型（LLM）加速發現漏洞。

 

Verizon指出，企業環境日益複雜，涵蓋IT、營運技術（OT）、物聯網（IoT）、AI系統與雲端服務，搭配各類人類與非人類身分（Non-Human Identity），存取與授權流程繁複。同時，企業面臨資源限制與優先順序衝突，導致部分漏洞長期懸而未決。

 

攻擊者則善用此不對稱優勢。舊漏洞持續被利用，而生成式AI大幅降低攻擊成本。DBIR發現，威脅行為者平均在15種攻擊技術中運用AI輔助，部分行為者甚至使用多達40至50種技術，包括開發惡意程式、建構釣魚誘餌、自動化偵察等。

 

Mondoo首席安全長Patrick Münch表示，攻擊者擁有明顯的AI不對稱優勢，因為他們只需找到一條成功路徑，而AI讓嘗試次數成本趨近於零。不過他認為這種優勢不會永久存在，未來防禦端需發展「代理式修復」（agentic remediation），讓AI自主執行偵測、情境化、優先排序與修復，消除人類瓶頸。

 

面對漏洞洪流，Verizon強調回歸基本面：修補優先順序（Patch Prioritization）。並非所有漏洞同等危險，應依據「是否正被主動利用」與「漏洞新舊程度」排序。

 

報告發現，漏洞被利用的機率會隨時間遞減：最近一次被利用後約30天、90天、9個月時，復發機率會明顯下降；超過一年未再被利用，則與從未被利用的機率相當。因此，主動利用狀態應永遠優先於漏洞年齡。許多持續被利用的漏洞其實已存在多年，而部分新漏洞可能永遠不會被針對。

 

Veracode策略產品管理副總裁Tim Jarrett建議，除了依據KEV（已知被利用漏洞）與Exploitability Prediction Scoring System進行優先排序外，企業應將安全左移，在開發階段即偵測漏洞，並導入自動化修復工具。

 

台灣擁有全球最密集的半導體、電子製造與ICT供應鏈，許多企業同時運行複雜的IT、OT與IoT環境，對漏洞修補的壓力尤為沉重。加上地緣政治因素，中國國家級駭客與勒索軟體集團持續針對台灣關鍵基礎設施進行偵察與攻擊，任何修補落後都可能成為突破口。

 

台灣企業常見挑戰包括：

 

Verizon DBIR再次提醒產業：在AI與漏洞氾濫的時代，基本功比以往更重要。擁有清晰資產 visibility、嚴謹修補管理、成熟事件響應計畫，以及支持安全行為的組織文化，才能在快速變化的威脅環境中立於不敗之地。

 

台灣企業應將此次報告視為警訊，盡速檢視自身漏洞管理成熟度，並與政府、產業同儕共同強化關鍵基礎設施韌性。唯有主動作為，才能避免在下一波大規模攻擊中成為破口。

 

出處：本文根據Dark Reading資深記者Alexander Culafi於2026年5月20日刊登的報導《Verizon DBIR: Enterprises Face a Dangerous Vulnerability Glut》改寫整理。