# Five Eyes 情報聯盟發出警告:AI 大型語言模型正成為網絡安全最大隱患
2026 年 6 月 25 日,由美國、英國、加拿大、澳洲同新西蘭組成嘅「五眼聯盟」(Five Eyes)情報合作組織,罕有地聯合發表咗一份關於人工智能安全風險嘅警告報告。呢份報告指出,大型語言模型(LLM)同生成式 AI 技術嘅快速普及,正為全球網絡安全帶嚟前所未有嘅挑戰。
## 五眼聯盟點解要出聲?
五眼聯盟一向係全球最緊密嘅情報共享網絡,佢哋嘅聯合聲明極少針對單一技術領域發出。今次破例,反映咗各國情報機構對 AI 安全風險嘅擔憂已經去到一個臨界點。
報告指出三大核心風險:
### 1. AI 降低網絡攻擊門檻
以前要發動一次有規模嘅網絡攻擊,你需要識寫 code、識逆向工程、識社會工程學。而家?你只需要識打字同個 AI chatbot 講:「幫我寫一個 phishing email template,模仿某銀行嘅格式。」
報告引述數據指出,2025 年全球 phishing 攻擊數量比 2024 年上升咗 67%,當中超過四成嘅攻擊內容被懷疑係由 AI 生成。攻擊者利用 LLM 可以極速產生大量高質素、個人化嘅釣魚郵件,傳統嘅 spam filter 根本追唔上。
### 2. AI 模型本身嘅安全漏洞
大型語言模型唔係完美嘅 — 佢哋可以被 prompt injection、jailbreak、data poisoning 等手法操控。報告特別提到,國家級黑客組織正積極研究點樣利用 LLM 嘅漏洞,去竊取訓練數據入面嘅敏感資訊,或者操控 AI 系統做出危害性行為。
一個令人憂慮嘅趨勢係:越嚟越多企業將 LLM 整合入 critical infrastructure,例如用 AI 做網絡流量分析、威脅偵測。但如果個 AI 本身俾人 hack 咗,咁佢唔單止唔會保護你,仲會變成攻擊者嘅內應。
### 3. AI 生成虛假資訊嘅規模化
Deepfake 技術配合 LLM 生成嘅文字內容,可以喺幾分鐘內製造出極具説服力嘅假新聞、假影片。報告警告,呢種能力喺地緣政治緊張時期尤其危險 — 敵對國家可以用 AI 大規模散播假資訊,擾亂社會秩序、影響選舉結果。
## 全球各國點樣應對?
五眼聯盟嘅警告唔係空穴來風。事實上,各國政府已經開始採取行動:
– **美國**:白宮喺 2026 年 6 月 23 日簽署咗一項關於後量子密碼學(PQC)嘅行政命令,要求聯邦機構加速過渡到抗量子計算嘅加密標準。雖然呢個命令主要針對量子計算威脅,但同時亦要求 NIST 制定 AI 安全評估框架。
– **歐盟**:歐盟 AI Act 已經喺 2026 年初全面生效,對高風險 AI 系統實施嚴格嘅安全審查同透明度要求。
– **英國**:英國國家網絡安全中心(NCSC)推出咗「AI 安全評估指南」,為企業提供實務指引,協助佢哋安全部署 LLM。
– **澳洲**:澳洲信號局(ASD)更新咗 Essential Eight 網絡安全框架,加入咗針對 AI 威脅嘅新控制措施。
## 對香港企業嘅啟示
雖然五眼聯盟嘅報告主要針對西方國家,但香港作為國際金融中心,同樣面對呢啲威脅。以下係幾個值得關注嘅重點:
### 金融業係頭號目標
香港嘅銀行同金融機構一直係網絡攻擊嘅高危目標。AI 生成嘅 phishing 攻擊可以完美模仿銀行嘅溝通風格,甚至用廣東話撰寫極具説服力嘅詐騙訊息。傳統嘅「睇下有冇錯字」呢招已經唔 work — AI 寫嘅嘢分分鐘文法好過你同我。
### 中小企風險更高
大企業有資源建立 AI 防禦系統,但中小企往往缺乏相關預算同專業知識。攻擊者知道呢點,所以越嚟越多針對中小企嘅 AI 輔助攻擊。五眼聯盟建議中小企至少要做到基本嘅 MFA(多因素認證)、定期員工安全培訓、同埋建立 incident response plan。
### 供應鏈攻擊風險上升
報告特別提到,攻擊者會利用 AI 去分析同攻擊軟件供應鏈。一個常見嘅手法係:用 AI 掃描開源代碼庫,揾出漏洞,然後針對使用該代碼庫嘅企業發動攻擊。2025 年嘅 SolarWinds 式供應鏈攻擊事件比 2024 年增加咗 35%。
## 企業應該點做?
五眼聯盟喺報告入面提出咗幾項建議:
1. **AI 系統紅隊測試** — 定期請第三方安全團隊嘗試 jailbreak 或者 prompt injection 你嘅 AI 系統,確保佢哋嘅防禦有效。
2. **數據分類同存取控制** — 唔好將敏感數據餵俾 LLM,除非你肯定個模型嘅安全措施足夠。特別係客户個人資料、商業機密呢類數據。
3. **員工 AI 安全培訓** — 教員工識別 AI 生成嘅 phishing 內容,同埋安全使用 AI 工具嘅 best practice。
4. **建立 AI 使用政策** — 清楚界定公司內部邊啲 AI 工具可以用、點樣用、咩數據可以輸入。
5. **關注法規發展** — 各國對 AI 嘅監管越來越嚴格,企業需要密切留意相關法規變化,確保合規。
## 總結
五眼聯盟今次嘅警告,可以話係對全球企業嘅一記當頭棒喝。AI 技術嘅好處毋庸置疑,但安全風險同樣不容忽視。喺 AI 時代,網絡安全唔再只係 IT 部門嘅責任,而係全公司上下都要參與嘅戰略議題。
🔗 參考資料:NVD NIST 漏洞資料庫
記住:AI 可以係你最強嘅盟友,亦可以係你最危險嘅敵人 — 關鍵在於你點樣管理佢。
