近期烏克蘭國防部遭到網路攻擊,初步調查指出,俄羅斯國家級駭客組織應用經中國 AI 工具強化的惡意軟體,以執行更難防禦的網路攻擊,被視為是首度被辨識出經 AI 強化的國家級網路攻擊,引起廣泛討論。
DSET 民主治理組兼任研究員張仁瑋投書《轉角國際》 ,分析本次攻擊的指標意義、其對台灣的啟示,並提出建議因應手段。
AI 驅動惡意軟體成攻擊新常態
張仁瑋在這篇以〈到府組裝客製木馬:俄駭客用中國 AI,遠端生成惡意程式碼攻擊烏克蘭國防部〉為題的評論中指出,本次被烏克蘭數位緊急應變團隊(CERT-UA)命名為 「LameHug」 的惡意軟體,由,主要針對防務及安全系統。駭客透過偽裝成官方文件的釣魚郵件誘導使用者開啟,進而收集系統資訊、網路設定及使用者帳號,並將各式資料打包回傳給攻擊者。
與傳統惡意軟體不同,LameHug 並非依賴預先編寫的固定指令,而是透過 API 連接 Hugging Face 雲端平台,使用阿里巴巴開源模型 Qwen 2.5-Coder-32B-Instruct 即時生成攻擊程式碼。駭客僅需以自然語言指令下達目標,惡意程式即可動態生成相應系統指令,提高攻擊彈性與隱蔽性,也使傳統防毒軟體難以防範。
AI 代理概念與惡意程式結合
張仁瑋並分析,LameHug 的運作模式類似 AI 代理(AI Agent),能自主觀察環境、分析目標、生成攻擊工具。未來類似惡意 AI 代理可能僅需模糊目標,例如「癱瘓金融系統」或「竊取半導體設計圖」,即可自動規劃與執行攻擊行動,減少對駭客精密操作的依賴。這類技術的發展,使過去科幻小說或動漫中的攻擊場景逐步成為現實。
APT28:俄羅斯數位戰先鋒
烏克蘭 CERT-UA 指出,這次攻擊高度可疑來源為俄羅斯國家級駭客組織 APT28(又稱 Fancy Bear、Sofacy),該組織長期進行與克里姆林宮戰略利益相關的網路行動,包括干預選舉、滲透國際組織及針對北約和烏克蘭的攻擊。LameHug 展現其積極採用 AI 技術的新趨勢。
張仁瑋指出,中國在此攻擊案例中扮演技術供應角色。透過阿里巴巴 Qwen 系列模型,攻擊者能在不依賴受美國監管的 AI 平台下,生成高度精準的惡意程式,顯示中國相關技術已成熟並具全球擴散潛力。類似能力亦可能被中國國家級駭客組織如 APT27、APT41 利用,對台灣政府、關鍵基礎設施及半導體產業鏈構成威脅。
防禦仍需回歸基本功
提及防禦方式,張仁瑋另分析,儘管 AI 技術提升攻擊能力,但 LameHug 的初始感染仍依賴釣魚郵件,突顯「人」在資安防禦中的關鍵角色。DSET 建議,組織應加強員工釣魚郵件識別、啟用多因素驗證(MFA)、保持系統更新,並對免費軟體與熱門 AI 工具保持警覺,以降低資安風險。
LameHug 的出現,宣告數位戰攻防環境正在進入 AI 驅動的新常態。對台灣而言,面對複雜地緣政治與潛在網路威脅,必須從國防戰略、企業規範到個人日常使用習慣,全面認知 AI 驅動的資訊安全風險,並提前調整與準備。