去年录15,877宗网络安全事故 按年增27%创新高 「代理式AI」增泄密风险
发布时间:13:31 2026-01-28 HKT
香港生产力促进局辖下的香港网络安全事故协调中心(HKCERT)今日(1月28日)发表年度「香港网络安全展望2026」。数据显示,本港去年录得15,877宗网安事故,按年上升27%,创下历年新高,其中网络钓鱼攻击占整体事故57%,因为生成式AI令钓鱼讯息更具真实感及难以辨识,进一步加剧网络安全风险。钓鱼攻击场景亦正由传统电邮蔓延至社交媒体或即时通讯平台,其中WhatsApp和加密货币平台分别有34%及18%。同时,易受攻击系统的个案亦较去年上升逾3.5倍,达2,328宗,占整体事故15%,显示系统配置错误及未及时修补漏洞。至于僵尸网络(Botnet)个案占约18%,与去年相若。
企业依赖外判服务或成安全缺口
报告同时预测2026年将有五大网络安全风险浮现,其中有三项涉及AI应用,包括AI驱动的网络攻击与「代理式AI」风险,因「代理式AI」可在无需人手操作情况下自行采取行动,有机会在黑客入侵后自动执行恶意指令,难以防范。而随AI日渐普及应用,企业缺乏内部AI管治框架的情况下,客户资讯、合约内容等敏感资料可能因员工误用公共AI平台而外泄。而随办公或客服机械人等AI设备兴起,陆续进入营运环节,亦会暴露一些潜在风险,执行危险动作,进一步延伸并影响现实世界。
另外,企业在业务过程中越来越依赖外判服务及第三方平台处理业务流程,有机会有供应链漏洞及第三方安全缺口。而企业过度依赖云端基础设施,亦可能导致因单一故障点而中断营运。
中小企增聘网安人手较保守
HKCERT同时发表「香港企业网络安全现况」研究结果,于去年10月至11月期间访问622间企业及50间网络安全服务供应商,显示71%企业有设网络安全人手,当中有67%中小企有员工负责网络安全,大企业有则有95%。但在技术应用层面及资源投放方面,有41%大企表示网络安全资源有按年增加,但只有13%中小企有按年增加投放。网络保安指引或守则方面,只有34%公司表示去年曾作更新。而展望未来12个月,中小企在增聘网安人手(中小企5%、大企15%)、培训(中小企13%、大企38%)、预算(中小企13%、大企36%)等方面的规划较为保守。
另外,有35%使用AI的企业表示会输入公司资料至AI工具,显示本地整体防御能力及AI管治意识不足。
生产力局首席数码总监黎少斌表示:中小企在资源和认知上的限制,令他们未必充分了解网络安全潜在风险,而供应链攻击已成为企业安全防线中最脆弱的一环,即使企业本身的防护措施完善,单一合作方的漏洞足以引发连锁危机。
建议企业将AI云端设于公司内部
他又留意到AI趋势将带来更多风险,举例黑客可利用仿真度高的假网站,引诱代理式AI输入员工帐号和假密码。他又指,虽暂不清楚企业使用代理式AI的程度,但现时已分别有48%中小企和80%大企有使用AI,使用AI是不能逆转且不应回避的趋势,中小企使用时可考虑不同手段降低风险。他举例,中小企运用AI处理报价单时,可考虑输入非真实的数据,待AI完成工作后才用人手修改数据,「系会冇得提升100%效率,但得80%,𠮶20%换取安全」。他又建议企业可以将AI云端设于公司内部,令资料不会外泄。
机械人方面,黎表示,现时本港商业使用机械人未算普遍,故风险未算高,但不排除有黑客入侵清洁机械人,并在人流多的地方高速行走,厂家应限制机械人可以执行危险指令,防范于萌芽阶段。
他特别提出,即使现时很多企业有网络安全守则,但不少员工仍会自行将公司资料输入AI等工具,导致外泄风险,建议企业加强由上而下的指令规范员工。
记者:曾伟龙
