為什麼 AI 基準賽在資安領域的勝利，應該讓防守方警醒

AI 資安基準的進展已顯示自主攻擊能力正在追上防守方的規劃速度。

這不是實驗室裡的熱鬧成果，而是防守方必須立刻重估威脅模型的訊號。當模型已能在多步驟資安任務中自行推進，安全團隊若還把 AI 當成周邊議題，就等於把時間優勢拱手讓人。

第一個論點：AI 已經跨過「輔助」到「自主」的門檻

最值得注意的不是模型會寫更好的釣魚郵件或更乾淨的程式碼，而是它們開始能獨立完成多步驟攻擊流程。英國 AI Security Institute 指出，Claude Mythos Preview 與 GPT-5.5 在資安任務上的自主完成長度，從 2024 年底以來呈現近乎每數月翻倍的趨勢，這代表能力成長速度已不是年，而是月。

更具體的案例是 AISI 的測試關卡「The Last Ones」與「Cooling Tower」。Claude Mythos 是第一個同時完成兩個區間的模型，在 10 次嘗試中有 6 次解出 32 步驟的模擬企業網路攻擊，並在另一關卡中 10 次嘗試成功 3 次；GPT-5.5 也在同一關卡達到 10 次中 3 次成功。這些數字不完美，但對攻擊者來說已足夠有威脅，因為資安破壞不需要每次都成功。

第二個論點：不只一家在看見同樣的加速

單一基準容易誤導，兩條獨立研究線指向同一方向就很難再當成偶然。Palo Alto Networks 表示，它在啟動與受信任存取計畫中測試 Claude Mythos、Claude Opus 4.7 與 OpenAI 的 GPT-5.5-Cyber，並直言這些模型已能「即時」把漏洞找出來並轉成關鍵利用路徑。這不是評論員的警告，而是資安廠商自己的實測結論。

更能說明問題的是它的輸出規模。Palo Alto 公布了 26 個 CVE、共 75 個問題的安全公告，來源是 AI 模型對 130 多個產品的掃描；相較之下，它平常每月通常不到 5 個 CVE。即使承認 AI 掃描會帶來較多線索與噪音，這個跳升幅度仍清楚顯示：AI 不只是幫防守方整理已知漏洞，而是在加速發現漏洞鏈，速度快到足以壓垮原本的審查節奏。

反方可能怎麼說

最強的反對意見是：基準分數不等於真實攻擊能力。AISI 也明白指出，這類資料只涵蓋少數模型，而且最難的任務缺乏足夠的人類比較樣本；它同時提醒，不應把單一基準結果讀成精確的 AI 能力量測。這個保留是合理的，因為 cyber range 是受控環境，真實網路更雜亂，也常有更多監控與防護。

另一個合理疑慮是，目前分數仍不像「完全自動化大規模入侵」。一個任務 10 次中成功 3 次或 6 次，並不等於模型已成為穩定攻擊者；在真實攻擊裡，失敗會留下紀錄、觸發告警，也會浪費時間。如果基準過度合成，數字確實可能放大模型表現，進而讓防守方被不必要地嚇到。

但這些反駁不足以支持觀望。問題不是 AI 今天是否已完全取代熟練入侵者，而是它的斜率已經夠陡，而且不同研究團隊測到的加速方向一致到不能忽視。AISI 指出，移除任何單一模型都幾乎不改變估計的翻倍時間；METR 也得到自 2024 年底起約四個月翻倍的相近結果。當不同方法、不同模型、不同機構都指向同一結論，負責任的反應不是懷疑一切，而是立刻補強防線。

你能做什麼

工程師、PM 與創辦人都應把自主資安能力視為產品風險，而不是未來研究題目。預設攻擊者會用 frontier model 更快找出弱點，然後把自己的回應週期壓到同樣的速度；優先處理依賴套件、密鑰管理、修補速度與偵測覆蓋，而不是先做會擴大攻擊面卻沒有明確價值的功能。如果團隊無法在幾天內辨識、修補並驗證重大暴露，那你們其實已經在用時間換風險。