每七家導入 AI 代理的公司,大概有六家在過去一年踩過雷。Gravitee 在 2026 年的《State of AI Agent Security》報告問了一輪企業主管,88% 坦承內部已經發生過跟 AI Agent 有關的資安事件,但同一批人裡有 82% 又覺得自家防護「應該擋得住」。這個落差就是現在最危險的地方。你以為派出去的是個聽話的數位員工,它其實是一個握有你公司帳號、會自己讀信、自己呼叫工具、自己改設定的高權限角色。
更刺眼的是速度。在一場受控的紅隊演練裡,麥肯錫內部的 AI 平台被一個自主代理拿下廣泛系統存取權,只花了不到兩小時。換成傳統資安事件,這點時間連工單都還沒派出去。AI Agent 安全風險的本質,不是它比人聰明,而是它在你還沒反應過來時就把整條任務鏈跑完了。

問題是「自主執行」這四個字到底會在哪些環節出事,多數討論講得很模糊。接下來不講空泛的原則,而是拆成六種具體的出事場景,每一種都配上真實發生過的案例與數字,讓你在導入前就知道地雷埋在哪、該先在哪裡設關卡。
為什麼是這六種場景,而不是十大條列?
先說清楚這六種怎麼挑出來的。國際非營利組織 OWASP 在 2025 年 12 月發布了「OWASP Top 10 for Agentic Applications」,把 AI 代理的風險排了十名。十條清單對開發者很有用,但對要做導入決策的人來說太細、太工程,看完還是不知道自己會在哪裡跌倒。
所以這裡換一個角度。不照漏洞分類,而是照「自主執行的一條任務鏈會在哪幾個關卡失守」來分。一個 AI 代理要完成任務,通常會經過「接收指令 → 選工具 → 用憑證存取系統 → 安裝外掛擴充能力 → 長時間運作 → 人類最後核准」這幾關。六種場景就對應這六個關卡,每一關都有真實的事故可以對照。
OWASP 臺灣分會的觀察其實點破了重點,當前所有關於 AI 代理風險的討論,最後都收斂到三件事:提示詞注入、代理程式權限、資料與供應鏈。下面六種場景,正是這三條主軸落到實務上的具體長相。

場景一:一封惡意郵件就能劫持代理的目標
最常被低估的入口,是 AI 代理「讀到的東西」本身就是攻擊。
傳統軟體分得清「指令」和「資料」,AI 代理分不清。它在同一段自然語言裡同時看到你的任務指示和外部讀進來的內容,攻擊者只要把惡意指令藏進一封郵件、一則社群留言、一段網頁文字,代理讀到時就可能把它當成新命令執行。OWASP 把這一項列為第一名,叫「代理目標劫持」,可以想成 AI 世界裡的指令注入。不是單次回應被騙,而是整個任務的核心目標被掉包。
這不是理論。2025 年 6 月公開的 EchoLeak(漏洞編號 CVE-2025-32711)是第一個被證實能在正式環境造成資料外洩的提示詞注入攻擊。攻擊者只寄一封精心設計的郵件,就能誘使微軟 365 Copilot 自動翻找內部檔案、把內容回傳到外部伺服器,全程不需要使用者點任何東西。微軟在 2025 年 5 月以伺服器端修補處理掉這個漏洞。
更值得擔心的是趨勢。Google 的資安研究觀察到,2025 年 11 月到 2026 年 2 月之間,惡意的間接提示詞注入內容相對成長了 32%。攻擊者已經把代理當成高價值目標,開始有耐心地把惡意指令預埋在廠商文件、套件說明、網頁內容裡,等代理自己撞上去。
換句話說,只要你的代理會主動讀外部內容,它讀進來的每一段文字,都得當成潛在的指令來防。
場景二:給了合法工具卻被拿去做危險的事
第二關出事,不是代理被裝了什麼壞東西,而是它把你原本給它的正當工具用歪了。
AI 代理早就不只是聊天框,它手上有一整組工具:能讀寫資料庫、能發郵件、能跑系統指令、能執行檔案操作。OWASP 把「工具濫用與調用」列為第二大風險,講的就是代理因為被注入指令、目標跑偏、或指令本身模糊,而以你沒預期的方式使用了合法權限,結果造成資料外洩或工作流被劫持。
一個典型畫面是輔助開發。有人用 AI 協助寫程式,結果整個專案資料夾被一句刪除指令清空。工具是合法的,問題出在它被以不安全、非預期的方式執行了。OWASP 臺灣分會就直接拿這種情境當例子:給了合法工具,卻被以危險方式啟動。
更進階的版本叫工具下毒。研究團隊在 2025 年底用一套基準測試了 45 個實際運作的 MCP 伺服器、353 個真實工具,方法是把惡意描述塞進工具的說明欄位。結果很多熱門代理的攻擊成功率超過 60%,最高來到 72%。問題核心在於:代理會把工具的描述文字當成「系統開發者寫的、可信的」來讀,但這些描述其實可能來自一個代理從沒同意要信任的第三方。這比較像是對代理上下文的供應鏈攻擊,而不是傳統那種使用者端的越獄。
所以工具給得越多、串得越廣,越要回頭想清楚,這把工具如果被以我沒想到的方式呼叫,最壞會怎樣。
場景三:權限給太大代理就成了越權的內鬼
第三關的麻煩,是身分與權限。
每一個 AI 代理本質上都是一個身分。它需要憑證才能存取資料庫、雲端服務、程式碼倉庫,而你給它的任務越多,它累積的權限就越多,於是它變成攻擊者眼中的高價值目標。OWASP 的第三大風險「身分與權限濫用」講的就是這件事:代理若缺乏獨立、受控的身分,委派鏈一被操縱,就會發生權限提升、繞過管控、責任歸屬不清。
真正讓這個風險站得住腳的,是一連串真實事故。身分安全廠商 SailPoint 在 2025 年的調查指出,39% 的企業遇過 AI 代理摸到了它本不該碰的系統,32% 遇過代理放行了不該下載的資料。權限一旦給寬,代理跨系統、提權、外洩資料的速度是機器級的,人類分析師往往來不及反應。前面提到麥肯錫平台兩小時被拿下,正是這類「能力與曝險同步放大」的縮影。
財務代價也具體。根據 IBM 2025 年的資料外洩成本報告,跟「影子 AI」有關的外洩事件,平均每起成本達 463 萬美元,比一般外洩高出約 67 萬美元。差別不只在金額更高,而是結構不同。代理是用驗證過的合法身分在行動,事後稽核時,它的破壞看起來像是某個員工的正當操作。
這也是為什麼資安圈現在反覆強調,每個代理都要有自己的受管身分,存取範圍要綁死,而不是共用一把「上帝權限」的 API 金鑰。如果你回答不出「這個代理能做什麼、代表誰行動、誰核准的」,就還沒準備好放它自主跑。
場景四:第三方技能包把後門一起裝了進來
第四關藏在「擴充能力」這個動作裡。
現在的 AI 代理可以安裝叫「技能(Skill)」的擴充套件,來做訂票、剪影片、跑複雜流程這類任務。網路上已經有開放平台讓大家分享自製的擴充包,方便歸方便,但攻擊者也可以把惡意指令寫進去、偽裝成正常的技能上架,使用者一旦安裝,就可能被植入後門或惡意程式。OWASP 把這類問題歸在「代理式供應鏈漏洞」。
實際被抓到過。資安團隊測試過一個第三方的代理技能,發現它在使用者毫不知情的狀況下執行資料外洩與提示詞注入,而且這個技能還被人為灌量、衝到了該平台技能庫的第一名。排名第一不代表安全,反而可能是攻擊者刻意把毒餌推到最顯眼的位置。
台灣的數位發展部資安署也針對這點發過提醒,建議在安裝任何第三方技能擴充套件前,先對它的內容說明與程式碼做完整的安全檢查,確認沒有問題才安裝。
這一關的教訓很單純,代理能裝什麼,就等於你的攻擊面能擴張到多大。每一個外掛都是一條新的信任鏈,裝之前要先確認這條鏈是否可信。
場景五:代理跑得越久越會「忘記」哪些事不能做
第五關不是被攻擊,而是代理自己在長時間運作中慢慢失控。
AI 代理能處理的資訊量有限,跑久了會自動壓縮、丟掉早期的內容來騰出空間。麻煩在於,原本設定好的安全規則和權限限制,也可能在這個壓縮過程裡被一起刪掉,導致代理逐漸「忘記」哪些事不該做,最後做出越界的行為。資安署把這列為一種具體的威脅情境,提醒大家長時間自主運作本身就是風險。
OWASP 清單裡有兩條跟這個關卡呼應。一條叫「連鎖故障」,當今的代理常常一次用好幾個,如果其中一個出現幻覺或被毒化,下層代理把它當成事實接著做,一個微小的故障就會在代理之間放大成系統級的崩潰。年初就有人分享用 AI 跑市場交易,只要上游的市場分析被毒化,下游的交易代理就會照著錯誤結果執行你完全沒預期的操作。另一條叫「失控代理」,指代理偏離了原定的功能或授權範圍,每一個個別動作看起來都合法,串起來的整體行為卻是有害的。
防這一關,靠的不是更聰明的模型,而是把安全守則寫進代理的「長期記憶」核心檔案,確保每次運作都會強制重新載入這些限制,不會因為記憶壓縮而蒸發。定期審閱、備份這份記憶檔,是長時間部署代理時最容易被忽略、卻最該做的一件事。
場景六:人類太信任 AI 閉著眼睛就按下核准
最後一關出事的,其實是人。
AI 代理因為擬人化、講話有條理又自信,很容易讓使用者建立起過度的信任。OWASP 把「人機信任利用」列進十大風險,講的是當人類在沒有獨立查核的情況下,就核准了代理建議的高風險行動,這個信任本身就成了被攻擊的破口。攻擊者甚至會利用權威偏誤,用看起來很有說服力的解釋去操縱判斷,讓使用者在不知不覺中放行惡意操作。
這類攻擊最棘手的地方在於事後追查。代理被當成一個不可追蹤的幕後黑手,惡意行為在稽核紀錄裡看起來像是「人類的合法決策」,鑑識難度大幅提高。一個被反覆提到的例子是發票。代理告訴你收到一張發票,金額幣別卻被解讀錯了,如果你因為信任 AI 而沒有覆核,後果不堪設想;而這個幣別錯誤,有可能是有人在發票上動了手腳、刻意影響 AI 判斷的結果。
代理表現得越自信、越有權威感,使用者錯誤核准的機率反而越高。這也是為什麼針對高風險操作(像是存取憑證、發送郵件、執行系統指令)一定要設一道強制的人工審核關卡,每次執行前都要有人手動確認才放行。把人類留在迴圈裡,不是不信任 AI,而是不讓任何一個自動化決策在沒人看過的情況下落地。
在放手讓代理自主跑之前,先想清楚三件事
六種場景看下來,會發現它們其實共用同一個底層矛盾,讓 AI 代理有價值的那份自主性,正是它被攻陷時最危險的那份自主性。能力和曝險是綁在一起放大的,你不可能只要前者、不要後者,只能想辦法讓這份自主「可被信任」。
怎麼讓它可被信任,不必另起爐灶。國際與台灣的資安建議其實收斂得很一致,落到實務就是三道防線。第一道是環境隔離,別把代理裝在存著機密資料或日常作業的環境,丟到一台全新、獨立的機器或虛擬機裡跑。第二道是權限最小化,給代理專屬的獨立身分與帳號,需要登入外部服務就用有時效的臨時憑證,時間一到自動失效,從源頭壓低它能造成的破壞半徑。第三道是人工審核,高風險操作一律強制人類確認,再搭配把安全守則寫進長期記憶、定期審閱備份。

這三道防線收斂到一個原則:拒絕放任 AI 代理隨意執行。日誌紀錄、動態監控、嚴謹的存取驗證,這些資安基本功在 AI 時代一條都沒有過時,只是現在要套到一個會自己做決定的角色身上。導入 AI 代理的效益是真的,但前提是你先在這六個關卡上各設好一道關——讓它的自主,跑在你畫得出來的邊界之內。
