最近看到越來越多 AI 滲透測試、自動化安全檢查、Agent 化資安工具冒出來,我第一個反應不是「太好了,以後弱點掃描可以全自動」,而是另一個比較掃興但更實際的問題:如果工具真的變得更會找問題,企業準備好讓它進流程了嗎?
資安工具過去其實已經很自動化。SAST、DAST、依賴套件掃描、Container image scanning、雲端設定檢查,這些都不是新東西。差別在於,傳統工具多半是在明確邊界內運作:讀原始碼、掃套件、打測試站、列出 CVE、產生報表。它可能吵、可能誤報很多,但它通常不會自己決定下一步要去哪裡探、要不要串另一個工具、要不要根據前一個結果改變攻擊路徑。
Agent 型工具有趣也危險的地方就在這裡。它不是只把「掃描」做快一點,而是開始把偵察、假設、驗證、整理證據、產生修復建議串成一段工作流。對工程團隊來說,這很誘人,因為很多安全工作真正耗時間的不是按下掃描,而是理解上下文:這個 endpoint 是不是內部用?這個權限是不是設計如此?這個 dependency 能不能升?這個弱點到底能不能被利用?
如果 AI 能協助把這些線索串起來,價值當然很高。但我不會因此把它想成「會自己做資安的同事」。比較健康的想法是:它是一個高彈性的資安執行層,而執行層一定要被治理。
第一個問題:它被允許碰哪裡?
資安測試最怕邊界模糊。人類工程師做滲透測試時,正常會先有授權範圍:哪些網域、哪些環境、哪些帳號、哪些時間、哪些手法可以用,哪些絕對不能碰。AI Agent 也一樣,而且要更嚴格。
原因很簡單:Agent 很擅長「順著線索走」。它看到一個連結,可能想追;看到一個 token,可能想驗;看到一個內網服務名稱,可能想查更多。這些動作在研究環境裡很合理,在企業正式環境裡卻可能踩到不該踩的區域。
所以我會把這類工具的第一層設計放在 scope contract,而不是 prompt。不是只在指令裡寫「不要做危險的事」,而是系統層明確限制它能使用哪些工具、工具能打哪些 host、哪些 HTTP method 允許、速率限制是多少、是否能使用憑證、是否能產生破壞性 payload。真正的安全邊界不該只靠模型自律。
第二個問題:它提出的發現算不算證據?
AI 很會整理,也很會把零碎訊號講成一個漂亮故事。這在資安報告裡尤其要小心。弱點不是被寫得像弱點就算弱點,修復建議也不是看起來專業就能直接排進 sprint。
我比較相信的流程是把 Agent 輸出拆成三層:觀察、驗證、判斷。
觀察是它看到了什麼,例如某個套件版本、某個錯誤訊息、某個設定值。驗證是它做了什麼可重現檢查,例如請求記錄、測試輸入、回應差異、掃描器原始輸出。判斷才是它認為風險多高、影響範圍多大、應該怎麼修。
這三層如果混在一起,報告會很好讀,但工程上很難處理。因為你不知道哪一段是事實、哪一段是推論、哪一段只是模型補出來的合理化。資安流程需要的是可追溯,不是文筆順。
第三個問題:修復閉環在哪裡?
很多公司導入安全工具後,最大的問題不是找不到弱點,而是找到之後沒人處理。報表越多,大家越麻木。最後安全掃描變成每週固定產生一疊 PDF,工程師看到 critical 也先懷疑是誤報,久了整套流程就失去信用。
AI 如果只是讓報表變更多,反而會讓問題更糟。它應該被用來縮短「發現到處理」的距離,而不是擴大噪音。
比較有用的做法,是讓 Agent 協助做分流:哪些是可自動建立 issue 的明確弱點,哪些需要安全人員覆核,哪些可能是誤報但要留下原因,哪些屬於架構性風險不能用升版解決。更進一步,它可以幫忙找 owner、對應 repo、整理最小重現步驟、提出修復草稿,甚至在低風險情境下開 PR。
但這裡又回到同一個原則:越靠近動作,權限越要細。能讀掃描結果,不等於能開 issue;能開 issue,不等於能改程式;能開 PR,不等於能 merge;能在測試環境驗證,不等於能碰正式環境。
第四個問題:誰對它的行為負責?
這是技術主管不能逃的問題。Agent 做了安全測試,如果打爆測試環境、觸發告警、誤封帳號、掃到不該掃的服務,不能回答「是 AI 做的」。在企業流程裡,AI 不是責任主體,它是工具。責任仍然在設計流程、授權工具、核准任務的人身上。
因此我會要求這類系統至少留下幾種紀錄:任務是誰建立的、授權範圍是什麼、使用了哪些工具、對哪些目標做了哪些請求、哪些結果被判定為弱點、後續誰覆核、誰決定修或不修。這些紀錄不只是為了事後追究,也是為了讓流程可以被改善。
如果每次誤報都只是被關掉,下次還會再出現。如果每次有效發現都沒有回饋給規則、測試或知識庫,Agent 也不會真的變好。資安自動化要有學習迴路,不然只是更快地重複同樣的噪音。
AI 讓資安更像流程設計,而不是工具採購
我其實樂觀看待 AI 進入資安工作。安全團隊人力永遠不夠,工程團隊也不可能每個人都熟所有攻擊手法。讓 AI 協助查線索、補上下文、整理證據、提出修復方向,會是很實際的生產力提升。
但我不相信「買一套 AI 滲透測試工具,公司就比較安全」這種敘事。工具變聰明後,真正拉開差距的不是誰掃得比較勤,而是誰把授權、範圍、證據、分流、審批、修復和稽核設計得比較清楚。
資安本來就不是一次掃描,它是一個持續縮小風險的系統。AI Agent 只是讓這個系統的執行力變強。執行力變強是好事,但如果方向盤、煞車和行車紀錄器都沒裝好,跑得更快不一定更安全。
所以我現在看這類工具,會少問一句「它能找到多少弱點」,多問幾句比較無聊的問題:它怎麼限制範圍?證據怎麼保存?誤報怎麼回饋?修復怎麼進工作流?誰可以批准它升級動作?出了事能不能還原整段過程?
這些問題不酷,但它們決定 AI 資安工具最後是變成可靠的工程能力,還是另一個很會製造警報的黑盒。