生成式 AI 正在進入一個新的拐點:模型不只被拿來提升效率,也開始被系統性「拆解」與「挾持」。一邊是 Google Gemini 遭遇大規模蒸餾攻擊,攻擊者以超過 10 萬次的精密提示反覆探測輸出規律,試圖逆向其推理與決策結構;另一邊則是供應鏈投毒與惡意軟體把本地端 AI 開發工具變成「高權限內鬼」,自動掃描錢包、憑證與檔案再外傳。當 AI 從產品變成基礎設施,安全不再是附加功能,而是競爭門檻與估值折價/溢價的核心。
目錄摘要
一、Gemini 蒸餾攻擊:模型輸出正在被「統計學複製」
所謂蒸餾(distillation)在正常情境下是用大模型教小模型,但在攻擊情境中,蒸餾變成「用大量查詢把老師的行為學走」。Google 指出,攻擊者透過高度結構化的提示集,單次行動就可送出十萬級別提問,目的不是取得單一敏感答案,而是累積足夠樣本去擬合 Gemini 的輸出分佈,進而做出功能相近的替代模型,或用來強化自家系統的對抗能力。對投資人而言,這意味著:AI 的護城河不只在算力與資料,也在「可被複製的程度」。未來模型提供方勢必在可用性(開放 API、快速回應)與可保護性(速率限制、輸出擾動、行為水印)之間重新取捨,並把「反提取」能力納入企業採購清單。
二、供應鏈 + AI Agent:攻擊閉環從「拿到殼」變成「拿到手」
近一年最值得警惕的趨勢,是攻擊者不再只植入惡意程式碼,而是直接驅使受害者本機已安裝的 AI 開發工具完成偵察與竊取。以 Nx 構建工具遭入侵為例,攻擊者取得 npm 存取令牌後,在數小時窗口釋出帶毒版本;更關鍵的是,惡意程式碼會呼叫本地的 Claude Code、Gemini CLI、Amazon Q 等工具,讓這些「原本用來寫程式的助手」代替攻擊者掃描錢包、檔案、令牌並打包外傳。這類手法把 AI Agent 的高權限與本地可見性轉化為攻擊優勢,也讓傳統端點防護難以以「特徵碼」即時識別。企業若正在導入 AI coding assistant,必須把它當作一個新的特權軟體:最小權限、行為稽核、以及對外連線與檔案存取的細緻管控,會比單純裝防毒更重要。
三、LoRA 微調的「輕」成為風險:StolenLoRA 揭示新型模型竊取面
市場熱愛 LoRA 的原因很直白:便宜、快、部署容易,還能讓企業把專有流程與語氣封裝成小型適配器。但研究顯示,參數量更緊湊的 PEFT/LoRA 反而可能更容易被「透過查詢」抽取其特有能力;StolenLoRA 類方法甚至能借助大模型生成高效查詢資料,在有限互動下復現專有功能,並在跨骨幹架構時仍維持接近九成以上的成功率。這對 SaaS 業者與企業內訓模型的定價邏輯是一記警鐘:你賣的可能不是模型本體,而是可被快速複製的「行為配方」。投資視角上,具備模型保護(反提取/反蒸餾)、安全交付(加密部署、硬體隔離、可信執行環境)與合規審計的 MLOps/SecOps 供應商,將更容易在企業採購中勝出。
四、AI 武器化的自動化:提示注入把「聊天」變成入侵介面
提示注入已從研究者的概念,走向企業資安的主戰場。調查顯示,相當比例的資安負責人已在一年內遭遇針對 GenAI 應用的攻擊,尤其是聊天機器人與工作流助手:它們一旦能讀資料、能呼叫工具、能下指令,就等於新增了一個「自然語言的管理介面」。更棘手的是,惡意軟體也開始把雲端大模型當作動態指令生成器,例如連到模型平台 API 取得系統偵察命令,涵蓋硬體指紋、網路配置、進程服務枚舉甚至 AD 查詢,降低攻擊者手工操作成本。攻防格局的質變在於:過去進階攻擊受限於人力與經驗,如今攻擊者可以調度多個代理協同,讓 80%~90% 的戰術動作自動化。企業若仍以「外網防火牆 + 端點防毒」思維看待 GenAI,將很容易在新接口上失守。
| 風險類型 | 代表事件/技術 | 最可能受影響對象 | 投資與管理啟示 |
|---|---|---|---|
| 模型提取/蒸餾 | 對 Gemini 十萬級提示探測 | 提供開放 API 的模型廠、AI SaaS | 護城河轉向「反提取」與商業交付能力 |
| 供應鏈投毒 | Nx/npm 令牌外洩、帶毒版本 | 開發者、DevOps 團隊、Web3 專案 | SBOM、簽章驗證、依賴治理成為基本盤 |
| Agent 挾持 | 呼叫 Claude Code / Gemini CLI / Amazon Q 掃描外傳 | 導入 AI coding assistant 的企業 | 把 AI 工具視為特權軟體,做最小權限與稽核 |
| 微調能力竊取 | StolenLoRA 類抽取方法 | 用 LoRA 封裝專有流程的 SaaS | 部署隔離、加密交付與水印將影響估值 |
| 提示注入/工具濫用 | LLM 生成系統命令、工作流被操控 | 聊天機器人、客服/內勤自動化系統 | 工具調用白名單、資料分級與「可觀測性」是關鍵 |
五、從資安到市場:AI 泡沫的下一階段是「安全溢價」
你會看到兩種公司在下一輪競賽中拉開差距。第一種是把 AI 當行銷的公司:砸錢請網紅帶貨、用漂亮 demo 拉估值,但底層安全與交付能力薄弱;第二種是把 AI 當基礎設施的公司:投資提示注入防護、模型提取對抗、供應鏈治理與日誌可觀測性。當資安事件帶來營收中斷、法規罰則與客戶流失,市場會用更高的折現率懲罰前者,並給後者「安全溢價」。投資心法上,與其追逐每一次模型參數升級,不如追蹤企業採購預算的流向:哪些支出從「AI 功能」轉向「AI 安全」、哪些供應商能把安全做成可量化 SLA。對個人與團隊而言,最實際的風險提醒是:凡是讓模型能讀檔、能上網、能下指令的功能,都要先問三件事——它能看到什麼、它能做什麼、出了事你能不能回放與追責。
六、結語:把 AI 當「新型操作系統」,也把旅行當「更新視野的補丁」
Gemini 的蒸餾攻擊提醒我們:AI 的價值會被複製;供應鏈投毒挾持本地 Agent 則提醒我們:AI 的權限會被濫用。接下來一年,企業在 AI 上線速度與安全治理之間必須做出更成熟的工程化選擇;投資人也要把「安全成本」納入合理估值,而不是只看模型能力曲線。更重要的是,面對高變動的科技周期,個人也需要主動刷新認知:不妨規劃一趟旅行,去不同城市的開發者社群、資安會議或新創聚落走走,用現場的對話校準你的資訊源與風險感。當你願意走出去,才能更準確判斷下一個浪潮是創新紅利,還是安全代價。
