攻擊變便宜了,10 個免費動作讓你的小站更安全
沒有資安團隊,一個下午也能補完
颱風天的下午,小編窩在家看後台,Slack 開始跳提醒——一則、又一則。點開一看,這些新「訂閱者」的信箱不像真人:排著隊、帶著規律的編號、用一看就不會真收信的網域。那不是有人愛上我們,是有人站在門口一扇一扇地敲,看哪扇沒鎖。
資安圈管這叫「探測」(probing):自動化程式對著公開入口反覆試,看它防不防得住、會不會洩漏資訊、能不能被灌垃圾。我知道你在想什麼,因為我當下也這麼想——我們這麼小,誰有空理我們?
你太小、沒人理?那是舊觀念
攻擊者沒挑上你,他們誰都沒挑。他們把整片網路掃過去,順手敲每一扇門。過去這招對小站不划算:寫一封像樣的釣魚信、替一個小目標客製攻擊,都要一個人花時間,而小站榨不出多少油水。前沿 AI 把這件事翻轉了——當生成攻擊內容的成本趨近零,「太小、不值得打」這把保護傘就破了。
這不是猜測。Anthropic 2025 年 8 月的濫用報告寫得很白:技術能力有限的人靠 Claude 就做出了可用的勒索軟體;有人用 Claude Code 自動化偵察與竊取憑證,一口氣打了 17 家以上組織。Google 威脅情報團隊同年也說,地下販賣 AI 惡意工具的市集在 2025 年成熟,「降低了較低技術者的進入門檻」。
被打的代價,小團隊往往更痛。Verizon 2025 年資料外洩調查報告(這是資安圈公認的中立年度統計,不是廠商行銷)指出:中小企業的外洩有 88% 涉及勒索軟體,大企業只有 39%。你不是沒被打,是被打了更容易被一路加密到底。
全自動 AI 攻擊的新聞,先別急著嚇自己
你會在新聞上讀到更嚇人的說法:AI 已經能「全自動」發動攻擊。這個說法目前撐不起它的音量——招牌案例其實就兩個。Sysdig 揭露的 JADEPUFFER 被稱「首起全自動 AI 勒索」,但入口是一台沒補 CVE 的公網主機、由人部署去打,AI 只自動化了後續,而且「全自動」是賣偵測的 Sysdig 自己認定、沒有第三方複現(我們拆過:第一起 AI 全自動勒索)。另一個是 Anthropic 宣稱攔下「AI 執行了 80–90%」的行動,一出來就被獨立專家打問號,Yann LeCun 直接說是「監管劇場」。
所以別被末日新聞牽著去亂買 AI 資安工具。真正會敲到你家門的,是那個颱風天下午的東西:便宜、無差別的自動化探測。擋它不用花大錢,把下面這些基本功補完就好——幾乎全部免費。
10 個今天下午就能做的動作(幾乎都免費)
這份清單對得上國際通用的 CIS Controls IG1(專為人力有限、只用現成工具的組織設計的基本衛生)。挑對小站 CP 值最高的,照著做:
- 信箱和後台開兩步驟驗證。密碼外洩後最常見的災難是帳號被接管;免費的 TOTP 或 passkey 就能擋。英國 NCSC 說信箱 2FA 是 CP 值最高的一步。
- 公開表單掛真人驗證。訂閱、留言、登入這些表單加上 Cloudflare Turnstile 這類免費驗證,擋掉機器人自動灌與探測。
- 公開端點設限速。同一個 IP 每小時只能打幾次,超過就擋——讓列舉和暴力破解跑不動。
- 把站掛到 CDN / WAF。Cloudflare 免費方案就有基本 WAF 規則,幫你先擋一批已知的惡意流量。
- 開自動依賴更新、把 CVE 補掉。GitHub 的 Dependabot 免費,自動盯你的套件有沒有已知漏洞;公開服務別留舊版(JADEPUFFER 的入口就是沒補的 CVE)。
- 做 3-2-1 備份,而且真的還原一次試試。沒測過的備份很常還原失敗;萬一中了勒索,這是你唯一的後路。
- 關掉用不到的服務、後台綁 localhost。曝在外面的管理介面就是多一扇門;順手補上
nosniff這類安全標頭。 - 密鑰不要進 git、token 給最小權限。一把全能鑰匙被偷等於全屋淪陷;scoped token 讓災情關在一個房間裡。
- 開 log 告警。我們就是靠 Slack 告警才第一時間發現被探測——被敲門時你要收得到通知。
- 把外部內容當不可信,並限制 agent 能讀能做什麼。prompt injection 是 OWASP 列的 LLM 應用第一風險:別讓你的 agent 把抓來的網頁、郵件、bug 回報「當成指令」執行;刪改、金流、發信這種動作一定留一道人工確認。
前九個是每個小站都適用的老基本功,第 10 個是 agent 時代新加的。權限這塊怎麼跟非技術的同事講清楚,我們另外寫過 它能碰什麼、不能碰什麼。
把 agent 當資安實習生:會抓漏,也會唬爛你
反過來說,同一批讓攻擊變便宜的 agent,也讓請不起資安人員的小團隊第一次有了「資安人力」。我們那個下午做的就是這件事:把整個網站交給一個 AI agent 稽核,讓它逐一檢查端點、翻出可疑處、草擬修補——它確實幫我們找出並補上了好幾個洞。
但它只能當實習生。三條界線要記住:它會一本正經地唬爛你(AI 產出的是「最像對的」不是「保證對的」),所以每條發現都要你或確定性工具再確認一次;它會製造雜訊淹沒你(開源專案 cURL 在 2026 年 1 月直接關掉 bug bounty,因為 AI 垃圾回報多到有效率掉破 5%);它自己也是攻擊面(一個會讀外部內容又握有權限的 agent,正是 prompt injection 的完美目標)。用法很簡單:讓它當人類審查者的放大器,做初篩、分流、草擬,但永遠有人在迴圈、永遠不讓它自己上線特權動作。
補洞現在也是合規問題
如果你在台灣經營會碰用戶資料的小站,2025 年底這件事多了一層意義。台灣個資法修正案在 2025 年 11 月 11 日公布,其中兩項最有牙齒:資料外洩要在 72 小時內通報,並新設個人資料保護委員會專責監理。那張清單,從「有空再做」變成了「拖不起」。
我的颱風假結果都在補洞
那個颱風天我本來想耍廢,結果一個下午加隔天,都花在把上面那些逐一補完。風雨停了,門也一扇扇上了鎖。
你不需要資安團隊、不需要買貴的東西,你需要的是一個下午。真的只有一小時的話,先補這三道,這是我會做的順序:信箱和後台開 2FA、公開端點加真人驗證和限速、確認備份還原得回來。
風雨總會再來。趁天氣好,去把你自己的洞補一補吧。
SOURCES
- A Anthropic — Detecting and countering misuse of AI: August 2025
- A Google Threat Intelligence Group — AI Threat Tracker (2025-11-06)
- A Verizon 2025 Data Breach Investigations Report
- A OWASP Top 10 for LLM Applications 2025 — LLM01 Prompt Injection
- A CIS Controls Implementation Group 1 (IG1)
- A NCSC — Small Business Guide: Cyber Security
- B Sysdig — JADEPUFFER agentic ransomware
- B Cybernews — Was 2025 the year AI broke the bug bounty model?
- B Fortune — AI has made hacking cheap, and that changes everything for business
- A Jones Day — Taiwan passes major amendments to the Personal Data Protection Act
來源分級:A = 一手公告/論文/官方文件 · B = 可信媒體 · C = 可參考但需脈絡 · D = 觀察用,不可當事實。
本文由 AI 協助研究與起草,矽基前沿編輯部編修,總編輯廖玄同審閱定稿。 編輯方針與 AI 使用說明