去年錄15,877宗網絡安全事故 按年增27%創新高 「代理式AI」增洩密風險
發佈時間:13:31 2026-01-28 HKT
香港生產力促進局轄下的香港網絡安全事故協調中心(HKCERT)今日(1月28日)發表年度「香港網絡安全展望2026」。數據顯示,本港去年錄得15,877宗網安事故,按年上升27%,創下歷年新高,其中網絡釣魚攻擊佔整體事故57%,因為生成式AI令釣魚訊息更具真實感及難以辨識,進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至社交媒體或即時通訊平台,其中WhatsApp和加密貨幣平台分別有34%及18%。同時,易受攻擊系統的個案亦較去年上升逾3.5倍,達2,328宗,佔整體事故15%,顯示系統配置錯誤及未及時修補漏洞。至於殭屍網絡(Botnet)個案佔約18%,與去年相若。
企業依賴外判服務或成安全缺口
報告同時預測2026年將有五大網絡安全風險浮現,其中有三項涉及AI應用,包括AI驅動的網絡攻擊與「代理式AI」風險,因「代理式AI」可在無需人手操作情況下自行採取行動,有機會在黑客入侵後自動執行惡意指令,難以防範。而隨AI日漸普及應用,企業缺乏內部AI管治框架的情況下,客戶資訊、合約內容等敏感資料可能因員工誤用公共AI平台而外洩。而隨辦公或客服機械人等AI設備興起,陸續進入營運環節,亦會暴露一些潛在風險,執行危險動作,進一步延伸並影響現實世界。
另外,企業在業務過程中越來越依賴外判服務及第三方平台處理業務流程,有機會有供應鏈漏洞及第三方安全缺口。而企業過度依賴雲端基礎設施,亦可能導致因單一故障點而中斷營運。
中小企增聘網安人手較保守
HKCERT同時發表「香港企業網絡安全現況」研究結果,於去年10月至11月期間訪問622間企業及50間網絡安全服務供應商,顯示71%企業有設網絡安全人手,當中有67%中小企有員工負責網絡安全,大企業有則有95%。但在技術應用層面及資源投放方面,有41%大企表示網絡安全資源有按年增加,但只有13%中小企有按年增加投放。網絡保安指引或守則方面,只有34%公司表示去年曾作更新。而展望未來12個月,中小企在增聘網安人手(中小企5%、大企15%)、培訓(中小企13%、大企38%)、預算(中小企13%、大企36%)等方面的規劃較為保守。
另外,有35%使用AI的企業表示會輸入公司資料至AI工具,顯示本地整體防禦能力及AI管治意識不足。
生產力局首席數碼總監黎少斌表示:中小企在資源和認知上的限制,令他們未必充分了解網絡安全潛在風險,而供應鏈攻擊已成為企業安全防線中最脆弱的一環,即使企業本身的防護措施完善,單一合作方的漏洞足以引發連鎖危機。
建議企業將AI雲端設於公司內部
他又留意到AI趨勢將帶來更多風險,舉例黑客可利用仿真度高的假網站,引誘代理式AI輸入員工帳號和假密碼。他又指,雖暫不清楚企業使用代理式AI的程度,但現時已分別有48%中小企和80%大企有使用AI,使用AI是不能逆轉且不應迴避的趨勢,中小企使用時可考慮不同手段降低風險。他舉例,中小企運用AI處理報價單時,可考慮輸入非真實的數據,待AI完成工作後才用人手修改數據,「係會冇得提升100%效率,但得80%,嗰20%換取安全」。他又建議企業可以將AI雲端設於公司內部,令資料不會外洩。
機械人方面,黎表示,現時本港商業使用機械人未算普遍,故風險未算高,但不排除有黑客入侵清潔機械人,並在人流多的地方高速行走,廠家應限制機械人可以執行危險指令,防範於萌芽階段。
他特別提出,即使現時很多企業有網絡安全守則,但不少員工仍會自行將公司資料輸入AI等工具,導致外洩風險,建議企業加強由上而下的指令規範員工。
記者:曾偉龍
