時序進入2025年，資安戰場因生成式AI的普及發生更巨大的變革。2025年DBIR報告明確指出，生成式AI技術已成為推動社交工程攻擊複雜化的關鍵力量，為企業帶來了內外雙重威脅。
       資安署署長蔡福隆提醒，由於深偽（Deepfake）AI技術的快速發展，駭客在未來將更容易產製相關的圖像或影片，以錯誤的內容來詐騙民眾，由AI驅動的深偽技術已經被用於製造數百萬美元的詐騙案，進一步模糊了真實與虛假的界線。
       事實上攻擊者正利用AI大規模生成高度逼真且具說服力的釣魚郵件，這些郵件在語氣、文法和內容的相關性上更趨完美，使其能夠有效規避傳統郵件安全工具的偵測。
       根據2025年DBIR報告顯示，AI生成的惡意郵件數量較前一年（2024 年）增加了100％，已占整體惡意郵件的近10％。
       AI不僅優化舊有手法，也催生了全新的攻擊模式。在2025年DBIR首次提到名為「提示詞轟炸」（Prompt Bombing）的新型社交工程手法，在這種攻擊中，駭客利用竊取到的登入憑證，反覆觸發目標系統的多因素認證（MFA）的提示，不斷轟炸使用者的裝置，直到使用者因不堪其擾而心煩意亂，最終錯誤地批准了登入請求。
       此外語音釣魚攻擊（Vishing）的增長也極為迅速，2025 年的報告數據顯示，語音釣魚攻擊增長了442％。
       在外部攻擊的同時，企業內部員工對生成式AI工具的廣泛使用，也帶來了新的資料外洩風險。2025年DBIR報告指出，高達72％的員工使用個人帳號存取生成式AI平臺，但僅有12％的企業對GenAI的使用進行了完善的管控。這種不受監管的使用行為，可能導致企業的敏感資料在無意中被輸入模型，成為潛在的資料外洩管道。

資料來源：iThome