2026 年 6 月 14 日AI Reading Notes & Industry Insights
AI 安全與治理

Palo Alto Networks 執行長警告:AI 將在六個月內找出十年份的資安漏洞

Palo Alto Networks 執行長 Nikesh Arora 指出,AI 模型找出壞程式碼的能力已超越寫出完美程式碼的能力,未來半年內將發現過去十年才能找到的漏洞數量,企業必須為大量補丁潮做好準備。

· 來源: Minus One (South Park Commons)
Palo Alto Networks 執行長警告:AI 將在六個月內找出十年份的資安漏洞

本文整理自 South Park Commons《Minus One》2026 年 4 月播出的單集。

{{< youtube ThPxRYxXbOQ >}}

{{< spotify "episode/4UVeGQRxRAQUqlWAEaaygw" >}}

{{< apple-podcast "tw/podcast/the-ai-cybersecurity-crisis-is-here-nikesh-arora-palo/id1759014294?i=1000764792417" >}}

批評程式碼比寫程式碼容易,AI 也一樣

Palo Alto Networks 執行長尼基什.阿羅拉(Nikesh Arora)在 South Park Commons 的活動上,用一句話點出了整場資安風暴的核心邏輯:人類寫爛程式碼已經寫了非常久。這不是什麼新聞,但當 AI 的程式碼理解能力在過去 18 個月突飛猛進時,一個過去被時間稀釋的問題突然被壓縮了。

阿羅拉的觀察很直覺:如果你相信 LLM 已經能處理 90% 的程式開發場景,那它理解壞程式碼、找出漏洞的能力只會更強。批評永遠比建設容易,AI 在這件事上也不例外。把一個大型語言模型指向你的基礎架構,它會比任何人類稽核員更快地找出被遺留的錯誤組態和敞開的大門。阿羅拉預估,未來六到十二個月內,業界將發現過去需要十年才能找到的漏洞數量。

這些漏洞分布在三個地方:開源軟體、企業自己寫的程式碼、以及軟體供應商賣給你的產品。AI 不會挑食,它會把三種壞程式碼都找出來。更進一步,如果模型的上下文視窗夠大,它甚至能把多個獨立的漏洞串接起來,推理出一條完整的攻擊路徑。這已經不只是「發現問題」,而是在幫攻擊者規劃路線。

Agent 時代的安全空白:TSA 不是跟飛機一起發明的

阿羅拉用了一個精妙的比喻:TSA(美國運輸安全管理局)不是在飛機發明的時候就存在的。早期的飛行只是想辦法從一個地方到另一個地方,安全檢查是後來才加上去的,因為人們發現有人會拿飛機做壞事。

AI Agent 正處於同樣的階段。企業正在全力部署 Agent、串接 MCP 伺服器、讓 AI 系統彼此對話,但這些新架構幾乎都沒有內建安全機制。阿羅拉直言:目前沒有安全版本的 MCP 存在。他提到 Salesforce 最近走向無頭架構(headless),但沒有人清楚這套系統的安全治理機制長什麼樣子。不久前,Salesforce 的一個市集應用程式才被攻破,連帶影響了一大批企業客戶。

但問題的規模還不只如此。阿羅拉指出,現在沒有任何一家企業知道自己內部到底有多少個模型在運行。Hugging Face 上每天有超過百萬次模型下載,這些模型流入企業環境後,沒有人能確認它們是否安全、是否有後門、是否存在三個月後才啟動的休眠連結。從模型本身到 Agent 的通訊流量,再到 MCP 伺服器之間的認證機制,每一層都是安全空白。

Palo Alto Networks 的策略是不等待問題爆發。他們在 RSA 資安大會上發布了 Agent 閘道(agentic gateway),核心邏輯是先把所有 Agent 的流量導到一個控制平面,才能進行認證、治理、政策攔截。在這之前,他們已經收購了三家 AI 資安公司、開發了兩三個自研產品,並且買下了 HackerOne 來取得模型滲透測試的能力。

修補的挑戰:從一週三個補丁到一週三百個

發現漏洞是一回事,修補又是另一回事。阿羅拉承認,這裡存在一個規模問題。想像一個 IT 部門原本一週做三次補丁更新,突然被要求一週做三百次。這不只是工作量暴增的問題,每一個補丁都必須在特定的環境脈絡下測試:修改一段程式碼可能修復了一個漏洞,但同時破壞了它與其他系統的介面。AI 模型在找漏洞時或許不需要完整的環境理解,但在寫補丁時,它必須知道這段程式碼跟什麼東西連動。

好消息是,能找到漏洞的模型大概率也能生成修補方案。阿羅拉對此相對樂觀,他認為這是一個可解的問題,只是需要大量的資源和工作。SaaS 軟體相對容易處理,因為服務端可以直接更新。真正困難的是那些部署在終端設備上的軟體、受監管產業必須經過額外審批流程的系統,以及十五年前寫的、原始開發者早已離開的老舊程式碼。

阿羅拉把這比擬為 Y2K(千禧蟲),不是世界末日等級的威脅,但確實需要整個產業集中精力在短時間內大量補強。他的態度很務實:不需要封城,但需要拼命工作。

我的觀察:Agent 有「自主行動力」,這次真的不一樣

每一代新技術都經歷過「先跑再說、安全後追」的循環。網頁應用程式是這樣,OWASP Top 10 是 2003 年才出現的;行動應用程式也是這樣,App Store 的權限管理機制是被駭客事件逼出來的;雲端更是這樣,Zero Trust 架構是被內部威脅事件推動的。

但 AI Agent 這次的情況有一個根本性的不同:Agent 會自己決定下一步要做什麼。傳統軟體是被動執行的,你給它一個輸入,它跑一個確定性的流程,產出一個可預期的結果。Agent 不是這樣。它的行為是非確定性的,它可能基於上下文做出你沒預期到的決策,而且它可以連鎖觸發其他系統的動作。這意味著一個被入侵的 Agent 不只是洩漏資料,它可能主動去攻擊其他系統、修改資料、或者做出不可逆的操作。

台灣的企業正在快速導入各種 AI 工具,從客服機器人到內部流程自動化,但資安意識和基礎建設明顯落後。多數企業甚至還沒有做到阿羅拉說的最基本的第一步:盤點你有多少個 AI 模型在運行。如果你連自己有哪些 Agent 都不知道,你要怎麼保護它們?

這不是一個可以「等大廠解決」的問題。阿羅拉的訊息很清楚:安全控制必須在部署的同時就建立,而不是等第一次被攻擊之後才開始補救。對於正在建構新系統的團隊來說,這反而是好消息,因為從零開始設計的架構可以把安全治理內建進去,不用像既有企業那樣在一堆歷史包袱上面貼補丁。但前提是,你要認知到這個威脅的時間框架不是「幾年後」,而是「幾個月內」。