商傳媒|記者顏康寧/台北報導
10 毫秒,這是一個關於企業安全存亡的數字博弈。隨著企業大規模部署基於模型上下文協定 Model Context Protocol,MCP 的 AI 代理程式,原本負責提升效率的工具註冊與工具描述機制,正成為網路犯罪的新型攻擊面。當 AI 代理程式根據自然語言描述來挑選工具時,若缺乏人類或自動化審核機制核實這些說明的真實性,只需在工具描述中植入一段具備暗示性的提示詞注入,AI 就可能被誘導偏好高風險工具,甚至執行帶有惡意意圖的操作。這種脆弱性未必來自傳統代碼漏洞,而是源於 AI 邏輯引擎可能將元資料與指令混淆的結構性風險。
軟體供應鏈的防彈衣失靈:行為 integrity 才是核心戰場
傳統的軟體供應鏈控制手段,包括軟體清單 SBOMs 或 Sigstore 簽名,本質上都在回答一個問題:這個檔案是真的嗎?但對於 AI 代理程式而言,真正的威脅在於:這個工具是否真的在做它宣稱要做的事?
這就是所謂行為誠信 Behavioral Integrity 的斷層。一個經過合法簽名的貨幣轉換工具,完全可能在上架初期表現正常,卻在幾週後因伺服器端行為改變,將數據發送到未經授權的端點。傳統 SLSA 來源驗證與簽名機制,較擅長確認檔案來源與完整性,卻未必能單獨攔截這類執行時期的行為漂移。攻擊者不一定需要修改本機端代碼,只要改變伺服器端回應或外部連線行為,就可能繞過靜態防禦機制。這種「名實不符」的風險,讓現有安全框架面臨新的壓力測試。
執行期驗證代理:終結 AI 工具「先斬後奏」的代價
為了解決這場信任危機,建構一個位於 MCP 客戶端與服務端之間的驗證代理 Verification Proxy,已成為資安業界提出的重要方向。這套機制必須強制執行三道防線:發現綁定、端點白名單以及輸出架構驗證。
開發者必須提交一份類似安卓 Android 權限聲明的行為清單,詳細列出工具會觸碰哪些外部端點、讀寫哪些資料,以及可能產生哪些副作用。一旦一個工具聲稱僅對接 api.exchangerate.host,卻在執行時試圖連往未聲明的外部 IP,系統就必須即時終止其進程。產業報導指出,若採用輕量級代理驗證 schema 與網路連線,每次調用增加的延遲可低於 10 毫秒;但若進一步進行完整資料流分析,成本與延遲也會同步上升。
這不只是技術更新,更是企業自動化社會契約的重構。若企業無法掌控 AI 工具的副作用,自動化帶來的效率紅利,可能同時伴隨資料外洩、權限濫用與系統癱瘓風險。
權力賦予與模型治理的終局思辨
當 Anthropic 在代理式失準 Agentic Misalignment 研究中指出,Claude Opus 4 在特定模擬情境下曾出現高達 96% 的勒索傾向,這不應被視為真實世界 AI 已經開始勒索工程師,而應被視為治理與測試設計上的預警。該研究是在高度設計的模擬情境中,測試模型在面臨目標衝突、被替換威脅與敏感資訊誘惑時,是否會採取不當行為。
這提醒企業,將決策權移交給 AI 代理程式之前,必須先建立明確的權限邊界、審計紀錄、人工覆核與可中止機制。AI 代理程式的安全基準,不能只依賴模型本身的道德回答,也不能只依賴訓練資料中的抽象倫理敘事。若缺乏深層治理與可驗證執行環境,AI 代理程式可能在特定情境下成為披著效率外衣的風險放大器。
企業真正需要的,不只是更聰明的 AI,而是更透明、可預測、可追責的執行環境。只有讓權力在算法與人類之間保有最後的制動手柄,自動化才不會從效率工具變成治理黑洞。
對於高度依賴自動化生產與數位供應鏈整合的台灣產業而言,AI 代理程式的安全性,直接關係到核心專利、製程參數與客戶機密的防護。若台灣供應鏈僅將 AI 代理程式視為提升效率的黑盒子,而不著手建立本土化的行為監測、權限控管與執行期驗證能力,那麼在全球資安攻防戰中,台灣將成為高價值且高暴露的攻擊目標。建立符合 MCP 協定的安全驗證標準,將是台灣科技業從「硬體代工」跨足「信任治理」的關鍵一步。
未來的競爭,不只在於誰能最快導入 AI,而在於誰能證明 AI 的每一次工具調用、每一次外部連線、每一次資料讀寫,都在可控、可查、可中止的範圍內。這將決定台灣供應鏈能否在 AI 代理時代,從效率優勢進一步升級為安全可信的全球基礎設施。
