DEV Community

JH5
JH5

Posted on

CYBERSEC 2026 AI 的真實需求與資安導入障礙

上上週 CYBERSEC 剛結束,剛好在 TACC 攤位看到這個巨大的技術需求媒合牆,它比任何市調報告都誠實地揭露了台灣企業目前對 AI 的真實態度,也扒開了目前企業不敢把 LLM 推進產品環境的硬傷。

這張需求牆依照領域分了幾個垂直區塊,橫軸則是企業目前的狀態(從現有需求、有需求、可能導入,一路到最下方的了解趨勢)。有趣的是,第 1 區(AI與內容安全)最上方的「現有需求」幾乎被貼紙貼滿,但轉頭看看第 4 區(威脅偵測與前瞻防禦),最上方的「現有需求」竟然連一張貼紙都沒有,相反地最下全部集中在最底層的「了解趨勢」。

這個現象其實滿值得探討的,議程內台上每個 vendor 都在喊自家的 AI 平台有多神,但台下的會眾手裡的貼紙卻很誠實,這應該不只是台灣特有的現象,國際上也是差不多的氛圍,其他議程的講者也有提到,雖然超過 80% 的安全團隊聲稱正在「測試或評估」生成式 AI,但真正把它放到生產環境、做自動化攔截的可能還不到 15%。

大家都還在觀望?

為什麼只敢了解,不敢導入?

地端部署與資料外洩的兩難

資安 CEF log 裡面滿滿的都是 PII(個人可識別資訊)、內部 IP 跟系統架構,如果讓 SOC 團隊把這些敏感 log 透過 API 一股腦打給 OpenAI 或 Anthropic?應該就直接GG不用玩了,但是如果要完全在地端跑,多數企業的機房根本扛不住上百 GB 等級模型推論所需的算力以及相關架構,更別提還要頻繁 fine-tune 新的威脅情資進入模型持續的Deploy 。

推論與確定的衝突

傳統資安 SIEM 系統是 Rule-based 的,什麼條件觸發什麼 action,當你讓 LLM 決定要不要把一個 IP block 掉時,只要它發作一次幻覺(Hallucination),砍錯了核心服務的連線,報告應該就寫不完了,而這通常也會讓工程師得花比平常更多的時間,去 double check 這個 AI 給的修復建議到底對不對,反而更拖慢應變時間。

好幾個今年的議程也有分享,導入 LLM 後可以大幅減少 Detect & Response 的時間與效益,的確是減少滿多在 SIEM Query 時的負擔與幫忙衍生相關的案例 (常見入傾Case?),或是自動延伸環境感染的狀況,最後再幫忙摘要與歸納,大部分也都還是需要人員做最後的判斷,這也明顯看得出來,沒有 100% 的可解釋性與明確的護欄,也沒有人敢按下那個 全綠燈 的開關。

小記

雖然上面的需求強很骨感,但4F TACC 展區內裡還是有幾個有趣的 poster 試圖在解這些問題,憑印象 Note 一下:

1. 用 LoRA 解決在地負載 :不處理底層的大型語言模型,只是單純訓練輕量級的 LoRA 來把威脅情資跟 MITRE ATT&CK 框架掛上去,實務上很實際的做法,代表企業只要用幾 GB VRAM 的成本,就能在不把原始模型重新練過的前提下,即時抽換不同情境的防禦規則。

2.把 LLM 當成編譯器避免幻覺: 這就是用來解前段提到「不敢讓 AI 按開關」的問題,直接把 LLM 當成編譯器的前端,回傳的不是聊天的廢話,而是 JSON 格式的 IR,防禦策略要先經過靜態跟動態驗證,確定不會搞爛系統,才會真正執行,又補足了只利用沙盒來做限制 Agent 的一些面向。

總結來說,需求牆很誠實地反映出一件事:企業對 AI 的期待高,但在「安全性、可解釋性、部署成本」這三道關卡都沒被說服之前,真正大規模導入仍然會停留在評估與試驗階段。

而需求牆上的「了解趨勢」,其實不是大家不買單,而是大家都在等,等模型變小、等護欄變硬、等這些實驗室裡的解法,真正變成能裝進 2U 伺服器裡的產品,然後再等價格更便宜一點XD

展場內已有不少務實的技術拆解與驗證思路,未來如果這些方法能成熟,產品化落地的速度應該會加快。

# cybersec# cybersecurity# mitre-attack# llm# siem# soc

Top comments (0)