最近在看一些關於 AI agent 被用於攻擊性安全場景的研究，有個細節讓我越想越不安——不是因為「AI 會寫惡意程式」這件事本身，而是這類架構打破了我們整套防守體系賴以成立的前提假設。

問題不在技術，在於防線設計的底層邏輯

過去十年資安治理的一個核心邏輯是：你可以透過控制模型供應商，來限制攻擊者能取用的推理能力。平台 refusal、rate limiting、KYC 審查——這些機制的有效性，預設了攻擊者必須從某個受監控的管道取得推理服務。

但如果推理能力本身可以在攻陷的基礎設施上寄生呢？

一旦 open-weight 模型可以部署在任何夠力的 GPU 節點上，而 worm 本身又能寄生被入侵機器的算力來跑推理，那麼中央化的 safety control 就從「有效屏障」退化成「對合規用戶有效的門禁」。攻擊者根本不在你劃定的管轄範圍內。

這是一個制度設計的結構性失效，不是技術層面的漏洞。

邊際成本歸零的治理意涵

傳統攻擊有一個隱性的成本結構：每個新目標都需要投入新的人力或算力去客製化利用方式。這個成本雖然對攻擊者來說是負擔，但對防守方而言其實是一種天然的緩衝——攻擊的規模化有其上限。

如果每次新感染的邊際成本趨近於零，這個緩衝就消失了。防守方面對的不再是「資源受限的對手」，而是一個能夠以近乎無限規模橫向擴散的系統。

這對治理的壓力是巨大的。現行的資安法規框架，包括歐盟 NIS2、美國的 CIRCIA，基本上都是以「事後通報與緊急應對」為核心設計，預設的是規模有限、可追溯的攻擊。當擴散速度和規模都可以指數級成長時，「通報後 72 小時內採取措施」這類條文的實際意義就大幅縮水。

異質環境的治理盲點

更複雜的是，這類架構對異質基礎設施特別有效——Linux、Windows、IoT 設備都可能成為寄生節點。這直接對應到治理的一個老問題：IoT 設備的安全責任歸屬至今仍然模糊，製造商、平台業者、終端用戶之間的責任切分在大多數法域都還沒有清晰框架。

一個能在企業網路內橫跨不同 OS 和設備類型的自適應系統，利用的正是這些治理縫隙。你的 Windows 伺服器可能更新得很好，但同個網段的老舊 IP 攝影機就成了切入點。

這讓我想到數位不平等的另一個面向：大型組織有足夠資源做網路分段、設備盤點、異常流量監控，但中型企業和中小型政府機構呢？他們的基礎設施往往更異質，安全人力更少，卻同樣在這個攻防不對稱的環境裡。

我們需要重新設想的東西

如果推理能力真的可以在任何被攻陷的節點上寄生，那防守方的預設假設就必須從「限制推理能力的取得」轉向「假設推理能力已無處不在」。

這個轉換不只是技術問題，更是制度設計問題。它意味著：

偵測優先於預防：當你無法阻止攻擊者取得推理能力時，快速偵測異常行為、限制橫向移動的能力就變得更關鍵。這需要更強的網路可視性投資，而不只是邊界防禦。

責任鏈的重新釐清：寄生式架構讓攻擊路徑變得更難追溯，這對歸因、執法、保險理賠都會產生連鎖影響。法律框架需要在「誰讓設備被攻陷」這個問題上有更清晰的責任分配。

open-weight 模型的 dual-use 治理：這不是「要不要開放」的二元問題，而是在開放的前提下，如何在模型發布、部署環境、下游使用這三個層次上建立有效的風險管控機制。單靠供應商自律顯然不夠，但純監管也有執行能力的限制。

研究者在這類工作上採取的審慎措施——redaction、封閉 repo、政府預先揭露——反映的是一種負責任的研究倫理。但這也提醒我們，技術社群的自我節制並不能取代制度性的治理框架。當類似能力開始在更廣泛的攻擊者社群中流通，那時才想補齊治理工具，就真的太遲了。