關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 人工智慧
顯示分類
2026.03.18
事件與威脅/人工智慧
AI系統隱蔽攻擊與治理落差之整體風險分析
  1. 前言

隨著生成式AI與AI Agent快速導入企業營運,人工智慧已從輔助工具轉變為具備決策與自動化能力的核心系統。然而,近期研究與安全事件顯示,AI系統的攻擊面正快速擴張,且其風險不再僅限於模型本身,而是延伸至輸入資料、外部內容、平台整合與治理機制。本報告整合三項最新研究與事件,分別為:

  • 字型渲染(Font Rendering)隱蔽攻擊技術
  • 企業CISO在AI治理與可視性上的重大落差
  • Amazon Bedrock與LangSmith等AI平台漏洞問題

從技術攻擊面與治理層面,分析AI安全風險的整體演進。

  1. 字型渲染隱蔽攻擊:AI安全機制繞過新手法

近期研究揭露一種新型攻擊技術,利用字型渲染差異(font rendering discrepancy),將惡意指令隱藏於HTML內容中,使AI工具無法辨識,但人類使用者卻可正常看到並執行這些指令。此攻擊的核心在於利用AI與瀏覽器對內容解析方式的差異:

  • AI分析的是原始HTML內容
  • 使用者看到的是渲染後的畫面

攻擊者透過自訂字型與CSS控制,使惡意指令在底層存在,但在AI分析時被視為無害內容,進而繞過AI安全檢測機制。

此技術本質上屬於間接提示注入(Indirect Prompt Injection)的一種進階變形,顯示攻擊者已開始利用AI與人類認知差異進行攻擊。

  1. AI系統本質弱點:Prompt Injection與語意信任問題

上述攻擊反映出AI系統的根本性安全弱點,即無法有效區分「指令」與「資料」。在大型語言模型(LLM)中,所有輸入內容均被視為同一語境,導致攻擊者可透過隱藏指令操控模型行為。此外,研究顯示:

  • 網頁已成為AI攻擊載體
  • 惡意指令可嵌入網站、文件或資料來源
  • AI在處理外部內容時可能執行攻擊者指令

這種攻擊方式代表一個重要轉變:攻擊不再針對系統漏洞,而是針對AI的「語意理解機制」本身。

  1. AI平台漏洞:Bedrock與LangSmith案例

在AI平台層面,研究指出包括 Amazon Bedrock 與 LangSmith 在內的AI開發與部署環境,存在多項安全缺陷,可能導致敏感資料暴露與未授權操作。這類漏洞通常涉及以下風險:

  • AI應用整合過程中缺乏存取控制
  • API與工具呼叫缺乏隔離機制
  • AI代理(Agent)可被操控執行非預期行為
  • 訓練資料或輸出資料可能外洩

這些問題顯示,AI安全風險不僅來自模型本身,也來自其平台整合與應用層設計。

  1. 企業AI治理落差:CISO面臨的結構性問題

從治理層面來看,AI安全問題更加嚴重。研究顯示,在2026年企業環境中:

  • 67% 的CISO缺乏對AI系統的完整可視性
  • 多數企業仍依賴傳統安全工具保護AI系統
  • AI部署速度遠快於安全治理能力

此外,「Shadow AI」現象普遍存在,即未經正式治理的AI工具被廣泛使用,導致:

  • 資料流向不可控
  • 安全邊界模糊
  • 法規與合規風險提升

此情況反映出企業在AI導入上存在顯著落差:AI能力已進入生產環境,但安全治理仍停留在傳統IT模式。

  1. 攻擊模式整合分析

綜合三項資料,可歸納出當前AI安全威脅的三大核心結構:

  • 內容層攻擊(Content-Level Attack)

―          字型隱藏指令

―          Prompt Injection

―          隱藏HTML或CSS攻擊

攻擊目標:操控AI理解與決策

  • 平台層風險(Platform-Level Risk)

―          Bedrock / LangSmith漏洞

―          API與工具整合風險

―          Agent濫用

攻擊目標:取得系統權限與資料

  • 治理層缺口(Governance Gap)

―          AI可視性不足

―          Shadow AI

―          缺乏AI專用安全工具

攻擊目標:利用管理盲點長期滲透

  1. 整體威脅趨勢

日報分析顯示,AI安全正出現以下關鍵發展方向:

  • 攻擊由「技術漏洞」轉向「語意操控」:攻擊者透過操控AI理解,而非突破系統防禦。
  • AI與人類認知差異成為攻擊面:字型渲染攻擊顯示,AI與人類看到的內容可被刻意分離。
  • 平台與Agent成為高風險節點:AI不再是單一模型,而是多工具整合系統。
  • 治理能力落後於AI導入速度:企業普遍缺乏AI資產盤點與風險控制能力。
  • Web環境成為AI攻擊主要載體:網站內容已轉變為AI攻擊的輸入通道。
  1. 結論

根據日報的分析,AI安全風險正從單一技術問題,演變為涵蓋內容、平台與治理三個層面的系統性風險。字型渲染攻擊揭示AI在內容解析上的根本弱點,Prompt Injection 顯示語意信任機制的脆弱性,而Bedrock與LangSmith等平台漏洞則反映AI應用架構的安全不足。同時,企業在AI治理與可視性上的落差,使這些風險難以及時被發現與控制。

整體而言,AI已成為一個高價值且高風險的攻擊目標。未來資訊安全策略需從傳統系統防護,轉向涵蓋AI整體生命週期的安全治理,包括輸入控制、模型行為監控、平台安全設計與組織治理能力提升,方能有效應對新一代AI威脅。
 

資料來源:

https://www.bleepingcomputer.com/news/security/new-font-rendering-trick-hides-malicious-commands-from-ai-tools/

https://thehackernews.com/2026/03/ai-is-everywhere-but-cisos-are-still.html

https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html
 
研究人員發現一種新型 AI 攻擊技術,利用自定義字型與 CSS 渲染差異,使 AI 助手無法辨識網頁中的惡意指令。