金管會提醒金融業強化前沿AI模型攻擊風險整備

       為協助金融機構因應前沿人工智慧(AI)模型發展可能帶來之資安風險,金融監督管理委員會(以下簡稱金管會)發布「金融業應對AI攻擊的挑戰與策略建議」,提醒金融機構應及早規劃並推動相關整備作業。
       金管會表示,Claude Mythos Preview(以下簡稱Mythos)係美商Anthropic公司於2026年4月對外揭露之前沿模型(指能力位於業界前段的AI模型),其受關注之處在於可協助找出漏洞、推演漏洞利用路徑,並規模化產出可運作之利用方式,導致漏洞發現與武器化之速度、規模與可靠度均可能同步上升,金融機構及其供應商可能面臨短時間大量修補之壓力,形成測試、驗證及上線資源壅塞之情形。
       金融服務高度仰賴核心交易、清算支付、身分驗證、跨機構介接及資料保護等機制,且對可用性、交易正確性及信任維持要求甚高。當前沿AI模型縮短從漏洞公開到可用攻擊手法出現之時間,金融機構除需因應技術層面之弱點修補外,亦須同步處理授權決策、服務維持、客戶影響、通報義務、供應鏈協調及對外溝通等治理與營運議題。
       金管會前已於114年底發布「金融資安韌性發展藍圖」(以下簡稱藍圖),面對前沿AI模型壓縮弱點揭露與利用時窗之新情勢,金融機構宜優先依循藍圖方向,加速落實並深化執行相關資安韌性措施,包含:
一、落實零信任,降低單點失守衝擊:在難以預先保證系統完全無漏洞之前提下,可透過抗釣魚多因素驗證、設備健康掌握、網路分段、連線控管與持續驗證,提升關鍵資源之防禦縱深,限制橫向移動、權限擴張與降低資料外洩風險。對外部或客戶端服務,宜將前端保護與傳輸安全視為基礎防護,並同步強化後端服務與 API 之身分驗證、授權檢核、異常偵測及流量控管,以降低自動化濫用與未授權存取風險。
二、強化持續監控,提升研判與即時應處效能:面對攻擊利用時窗急遽縮短,資安監控宜由告警可見進一步提升為可早期發現異常、關聯弱點與攻擊線索、支援快速研判並驅動應處之能力,並持續優化偵測、分流與止血效能。
三、深化資安左移,將資安要求前移至開發、測試與部署流程:將資安要求逐步前移至需求、開發、測試與部署各階段,並同步強化 CI/CD(持續整合與持續交付/部署)安全控制、自動化檢測、簽章驗證、回歸測試及回退安排,作為提升弱點治理效率與修補韌性之基礎。
四、強化第三方治理,提升供應鏈可視性與弱點追蹤能力:將 SBOM(軟體物料清單,用以記錄軟體元件、版本及相依關係)與依賴管理納入常態作業,作為快速定位受影響範圍、排序修補優先序及支撐漏洞應變之基礎,並逐步明確關鍵供應商之修補SLA(服務水準協議)、回報時限、緩解措施及替代機制。
五、深化聯防協作,強化重大事件通報與情資共享:在既有 F-ISAC(金融資安資訊分享與分析中心)情資分享基礎上,針對高風險弱點、重大供應鏈事件及密集修補波次,逐步明確分級報送門檻與通報時限,並釐清與委外廠商、關鍵供應商及聯防單位間之責任分工,以利形成共同情勢感知與優先應處順序。
六、建立短期整備與韌性演練機制:金融機構宜識別優先服務、關鍵系統與外部曝露面,提升資產可視性,盤點修補量能,並採行風險導向之弱點分流、修補與測試;對暫難立即修補項目,同步採取隔離、權限收斂、流量限制、臨時阻擋規則、端點偵測與回應或網路分段等措施等替代控管措施,並預作停機、降級運作與對外說明等整備。
七、前瞻規劃防禦性AI與自動化治理能力:金融機構宜將防禦性AI納入中長期能力建設與治理規劃,如應用於漏洞檢測與修補、資安監控與事件應處等,循序評估適用場景及導入條件,並宜保留人工覆核、軌跡保存、停用與回退機制,以提升弱點治理、監控分析及事件應處之效率與韌性。
       金管會強調,Mythos等前沿AI模型已使金融機構面對之資安風險,由技術防護議題進一步擴展為治理、營運與韌性之綜合課題,金融機構應及早由高階管理層主導,將相關整備納入營運韌性與資安治理之優先事項。
       金管會亦將持續關注前沿AI模型能力、國際監理作法及金融實務需求之演進,適時滾動檢討相關推動方向,凝聚金融業因應前沿AI攻擊風險之共識與做法,以維持金融服務之安全與穩定。
聯絡單位:資訊服務處 
聯絡電話:(02)8968-0806
如有任何疑問,請來信:本會民意信箱

<新聞來源:金融監督管理委員會>

Learn how we helped 100 top brands gain success