香港生產力局轄下的香港電腦保安事故協調中心(HKCERT)發布年度報告《香港網絡安全展望2026》。報告揭示,2025年錄得香港網絡安全事故15,877宗,較上年上升27%,創歷年新高。其中,網絡釣魚攻擊佔比高達57.5%,而利用系統漏洞進行的「已受攻擊系統」事故更飆升368%,顯示威脅形勢正急速演變。
即加入CFTime TG 讨论区!想掌握最新加密市场动态与 AI 新闻与资讯,更能随时获得免费 web 3入场券!
生產力局首席數碼總監黎少斌先生在簡報會上指出,人工智能(AI)的普及在推動創新的同時,亦被黑客廣泛用於發動更精密、自動化及具針對性的攻擊。此外,企業對第三方服務及雲端平台的過度依賴,構成了供應鏈安全的新脆弱點。
2025年香港網絡安全事故回顧:釣魚攻擊主導,系統漏洞激增
根據HKCERT數據,2025年網絡威脅呈現以下顯著特點:
- 釣魚攻擊氾濫,社交平台成重災區:在所有事故中,超過一半(57.5%)屬釣魚攻擊,較去年上升15%。HKCERT分析了62,980個釣魚連結,發現其中34% 藏身於社交媒體及即時通訊軟件(如WhatsApp),其次為金融相關平台(18%,包括加密貨幣及網上銀行)和電子商貿網站(16%)。AI技術被用於生成幾可亂真的釣魚內容,令辨識難度大增。
- 「已受攻擊系統」事故暴升368%:此類因系統存在已知漏洞而被攻擊的事故錄得驚人增幅。當中,62%個案涉及已被入侵的網站內容管理系統(CMS),27%因系統被植入後門,21%則存在嚴重安全漏洞。這反映許多系統管理員未能及時修補漏洞,讓黑客有機可乘。
- 殭屍網絡持續潛伏:相關事故數量與去年相若,但黎少斌強調,殭屍網絡難以徹底清除,是長期潛在威脅,企業絕不能掉以輕心。
2026年五大風險預測:AI與供應鏈成焦點
綜合數據分析與專家意見,HKCERT預測2026年將出現以下五大網絡安全風險,其中三項與AI直接相關:
- 人工智能驅動的網絡攻擊與「代理式AI」風險:黑客利用AI自動生成惡意程式及釣魚攻擊。更具威脅的是具備自主執行能力的「代理式AI」(Agentic AI),這類AI助手若缺乏安全意識,可能自動點擊惡意連結或執行有害指令,成為新型攻擊媒介。
- 企業AI管治薄弱導致資料外洩:許多企業缺乏使用AI工具的清晰指引。調查發現,35%使用AI的企業員工會將公司資料輸入公共AI平台,此舉可能令敏感或機密資料在不知不覺中外洩,用於訓練AI模型。
- 供應鏈及第三方安全缺口:企業營運高度依賴合作夥伴,若第三方系統存在漏洞,將直接殃及企業自身,形成「一點破,全線穿」的連鎖風險。
- 過度依賴單一雲端服務商:將核心業務完全建基於單一雲端平台而缺乏備援方案,一旦該服務出現故障,企業業務可能隨即陷入停頓。
- 具AI功能的實體設備帶來新興威脅:融入AI的實體設備(如智能機械人)若被入侵,攻擊可能從數字世界延伸至物理世界,在極端情況下甚至可能造成人身安全威脅。
企業防禦現狀:71%企業設網安負責人,中小企資源與意識待提升
HKCERT同步發布的《香港企業網絡安全現況》調查(訪問672間企業)顯示,企業防禦能力有所提升,但仍有改善空間:
- 責任歸屬:71%企業表示有專人或兼職員工負責網絡安全,但意味著仍有29%企業(主要為中小企)無人負責。黎少斌強調,此為安全防線的「重中之重」,即使將服務外判,內部也必須有人統籌管理。
- 技術應用落差:在基礎防護措施上,中小企與大企業存在差距。例如,僅48%中小企採用電郵保安方案(大企為79%);採用特權存取管理(PAM)的中小企為29%(大企為60%)。
- 資源投入:過去一年,僅13%中小企增加了網絡安全資源投入(如人手、設備),12%加強了員工培訓。相比之下,大企業的相關比例分別為41%和50%。
HKCERT五大建議:從責任到技術,構建全面防禦
為協助企業應對來年挑戰,HKCERT提出五大實用建議:
- 明確指派負責人員:企業必須指定專人或團隊統籌網絡安全工作,確保事故應變與日常監管責任到人。
- 制定AI使用與管治政策:企業應盡快為員工提供清晰的AI工具使用指引,規範可輸入的資料範圍,並評估供應商風險。
- 全面提升員工防釣魚意識:結合技術過濾與持續培訓,增強全體員工辨識釣魚訊息的能力,築起「人肉防火牆」。
- 加強全員網絡安全意識培訓:定期進行針對性培訓和模擬演練,將安全文化深植於各部門。
- 落實關鍵技術防護措施:包括電郵過濾、資料加密、多重認證、定期漏洞掃描及修補等。同時,應將供應商及第三方系統納入安全評估範圍。
黎少斌總結時呼籲,面對AI技術帶來的雙刃劍效應及供應鏈的複雜風險,企業必須從被動應對轉向主動規劃。他亦介紹了HKCERT聯同數碼政策辦公室推出的「網絡安全服務供應商聯動計劃」,該平台匯聚21家通過審核的服務商,旨在為中小企提供一站式的安全方案配對,協助他們提升防禦能力。
简体中文 
香港中文