RSAC 2025 聚焦 AI 資安未來：自主代理、身份管理與量子威脅帶來全新挑戰與解方

2025 年的 RSA Conference（RSAC 2025） 於美國舊金山盛大登場，吸引來自全球超過 45,000 名資訊安全專業人士參與，討論最新網路安全趨勢與技術創新。此次大會以主題 「Many Voices. One Community」 呼籲全球資安社群攜手因應人工智慧（AI）快速發展下所帶來的各種潛在風險。尤其 AI 在資安領域的應用成為焦點，涵蓋自主代理系統（Agentic AI）、非人類身份管理、量子計算威脅等多項議題。

一、自主代理 AI 崛起，企業需建構「可控自動化架構」

自主代理（Agentic AI）是指能夠在無需人類干預下，自主做決策並執行任務的 AI 系統。雖然這類技術能大幅提升效率與資安應變能力，但也伴隨極高風險。例如：代理 AI 若被誤導或遭惡意操控，可能造成誤封合法用戶、資料外洩甚至服務中斷。

應對方式：

• 建立 AI 安全開發生命週期（AI-SDLC）：從開發到部署階段皆需納入風險評估與安全審查機制。
• 實作 AI 決策透明化：利用可解釋 AI（Explainable AI）來追蹤與驗證代理執行的每個判斷與行為。
• 設置人工干預機制（Human-in-the-loop）：針對高風險任務，設定必須經人工確認才能執行。

二、非人類身份激增，身份與存取管理（IAM）需全面升級

根據 RSAC 報告，企業系統中已出現超過 50% 的存取行為來自機器帳號、應用程式或自動化工具。這些非人類身份（Non-human Identity）往往未被嚴格控管，導致成為駭客入侵的跳板。

應對方式：

• 導入零信任架構（Zero Trust Architecture）：對所有身份進行連續驗證與最小權限控管。
• 強化非人類身份監控與審核流程：定期盤點、禁用不活躍身份、並加設多因子驗證機制。
• 採用現代 IAM 平台支援機器身份治理：例如整合 API Gateways、OAuth 2.0 等方式進行細緻控管。

三、AI 雙刃劍：攻防皆用 AI，需導入主動式威脅獵捕

AI 既是資安利器，也被駭客用來發動更精密的攻擊。會中指出，有 APT（Advanced Persistent Threat）組織已利用 AI 生成極擬真的釣魚郵件與假網站，突破傳統防禦機制。此外，AI 亦被用於自動化漏洞掃描與資安情報分析。

應對方式：

• 導入主動式威脅獵捕（Threat Hunting）平台：結合 AI 行為模型與大數據分析，辨識異常行為。
• 建立企業內部 AI 偵測模型（Behavioral AI）：根據用戶行為與系統運作基準，偵測潛在風險。
• 定期更新威脅情報與攻擊樣本庫：確保 AI 偵測模型能與時俱進。

四、量子計算來襲，加密標準面臨瓦解風險

量子技術持續進步，預計未來數年將能破解現行 RSA 與 ECC 等主流加密演算法。若企業未及時轉型，可能導致機密資料暴露或通信被攔截。

應對方式：

• 開始規劃轉移至後量子加密（Post-Quantum Cryptography, PQC）：參考 NIST 推薦演算法如 CRYSTALS-Kyber 與 Dilithium。
• 制定加密轉型時程表：對關鍵系統與資料進行風險評估，優先導入 PQC。
• 結合混合加密策略（Hybrid Cryptography）：在量子運算尚未普及前，使用傳統 + PQC 的雙重加密模式。

五、公私協作加深，資安治理需全球聯防

RSAC 2025 明確指出，資安已不再是單一企業的責任。美國政府官員於大會中強調，需仰賴企業提供威脅情報與技術支援，形成強大聯防網路。尤其面對跨國勒索攻擊與假訊息戰，國際合作變得更加重要。

應對方式：

• 企業應主動參與資安聯盟：如 MITRE ATT&CK、ISAC、FIRST 等全球性社群，分享與接收即時資安情報。
• 與政府建立情報共享協議：設立安全管道傳送異常行為與攻擊指標（IOC）。
• 加強供應鏈資安管理：要求合作廠商也符合相同資安標準，落實全鏈條防護。

企業應超前部署 AI 資安防線，強化防禦韌性

RSAC 2025 釋出一個明確訊息：AI 正在重塑資安格局，風險與機會並存。面對自主代理、自動化攻擊、量子威脅與非人類身份等議題，企業若僅靠傳統防火牆與反病毒已無法應對。唯有結合 AI 驅動的資安工具、零信任架構、主動防禦思維與跨部門合作，才能有效應對日益嚴峻的資安挑戰。

參考資料：

• RSA Conference 官方網站
• MITRE ATT&CK 威脅模型
• NIST Post-Quantum Crypto 標準