IBM 资安技术主管 Jeff Crume 于最新影片分析中,回顾自己先前对 AI、资安风险与新兴科技的判断,并整理出 2026 年以后最值得关注的资安变化。他表示,随著企业快速导入 AI 提升效率,资安风险也同步被放大,从影子 AI、深伪攻击、代理型 AI 到量子运算带来的加密威胁,未来资安将进入一个攻防节奏更快、影响范围更广的新阶段。
AI 扩大便利,同步放大资安风险
Crume 点出,AI 为企业带来效率的同时,也正在快速扩大资安风险。其中最具代表性的问题,就是「影子 AI」。影子 AI 指的是未经组织核准、缺乏治理与安全控管的 AI 系统,可能只是有人在云端下载模型、接上内部资料就直接使用。
根据 IBM 每年发布的《资料外泄成本报告》,一旦企业发生资安事件,只要内部存有影子 AI,平均损失就会额外增加约 67 万美元。更令人忧心的是,有高达 60% 的企业仍未建立 AI 治理或资安政策,等于成本与风险已经上升,却没有对应的防护机制。
深伪暴增失控,诈骗与社交工程升温
Crume 进一步点名「深伪」(Deepfake) 已成为另一个快速扩散的资安风险来源。透过生成式 AI 制作的假照片、假声音与假影片,虽然能用于娱乐,但也被大量用于诈骗与社交工程攻击。
Crume 引用的统计显示,2023 年约可观察到 50 万起深伪案例,到了 2025 年已暴增至约 800 万起,成长幅度高达 1,500%。IBM 直言,深伪早已不是会不会发生的问题,而是已经大量发生,且仍在持续扩散。
攻击面持续扩大,AI 开始反制 AI
随著企业大量导入 AI 提升生产力,AI 本身也成为新的攻击入口。Crume 指出,非营利组织 OWASP 在 2023 年公布的大型语言模型十大漏洞中,「提示注入」(Prompt Injection) 名列第一,到了 2025 年依旧高居榜首,显示相关风险并未随时间消退。
不过,Crume 也指出正向发展正在出现。AI 已开始被用于资安防御,例如即时侦测提示注入、协助事件回应。Crume 认为,未来的资安系统必须能即时应对快速变化的攻击型态,而 AI 将是其中不可或缺的工具。
量子运算逼近,量子安全部署落后
Crume 也谈到量子运算。他指出,量子电脑未来将具备破解现行加密技术的能力,所谓「Q-Day」虽然尚未确定发生时间,但势必会到来。
Crume 观察到,2025 年间市场对「量子安全加密」(Post-Quantum Cryptography) 的关注明显升温,但实际部署进度仍相当有限。Crume 直言,量子威胁正在逼近,但多数组织仍未准备好。
代理型 AI 崛起,攻防风险同步放大
Crume 也坦言自家低估了「代理型 AI」(AI Agents) 的发展速度。这类具备目标导向与高度自主性的 AI,一旦遭到劫持,可能在极短时间内大量执行错误或恶意行为。
Crume 举例,代理型 AI 可能在使用者完全未操作的情况下,于读取邮件摘要时执行藏在内容中的提示注入指令,直接外泄资料。
同时,代理 AI 需要帐号与权限,甚至能自行生成其他代理,导致非人类身分数量暴增、权限滥用风险扩大。IBM 强调,代理型 AI 并非不能用,而是必须在充分理解风险的前提下部署。
(AI 代理成专业骇客?Anthropic 揭示 GPT-5、Claude 能复制链上攻击模式)
无密码时代成形,需加强量子防护技术
在资安防护方面,Crume 特别强调 「Passkeys」已逐渐成熟。FIDO 联盟成员涵盖 Amazon、Google、Microsoft、PayPal 等大型企业,统计显示,93% 的帐号已支援 Passkeys,约三分之一用户实际启用,IBM 内部也已全面改用无密码登入。
Crume 指出,这类技术能有效降低钓鱼攻击风险,因为「没有密码,就偷不到密码」,并在最后强调,现在就导入量子安全加密,是避免未来灾难的唯一方法。
(比特币后量子升级得花 10 年,核心开发者:短期量子无威胁)
这篇文章 IBM 展望 2026 资安趋势:代理型 AI 带动新型攻击风险,量子防护需求升高 最早出现于 链新闻 ABMedia。
