微軟全球資安副總裁Vasu Jakkal 籲正視影子AI

微軟全球資安副總裁Vasu Jakkal認爲，即使企業本身未正式導入AI，仍會面臨自家員工們將AI工具帶入工作場域的「影子AI」威脅。圖／臺灣微軟提供

適逢5月初CYBERSEC 2026臺灣資安大會舉行期間，受邀進行Keynote演講的微軟全球資安副總裁Vasu Jakkal，也終於有了機會、第一次來到臺灣。

對於投身科技產業超過20年的她來說，臺灣，不算陌生，從Intel（英特爾）設計工程師開啓職涯的她，還是科技業小菜鳥時，她就對臺積電、華碩、鴻海、英業達…等等臺廠耳熟能詳。直至這回初訪臺灣，她才真正踏入這個對全球科技生態系有至關重要影響力的科技產業供應鏈核心所在地。

臺灣作爲全球科技生態系的重心，不僅在全球經濟扮演關鍵角色，Vasu直言，臺灣長期處於全球資安威脅的最前線，也一直是國家級網路攻擊的熱區，尤其是針對臺灣科技業者的攻擊，更將直接威脅至全世界所仰賴的供應鏈安全。

Vasu進一步指出，不僅是IT產業，資安威脅也擴及至攸關生命安全的醫療機構領域。目前與微軟合作的客戶夥伴，包含長庚醫療財團法人、臺北榮民總醫院及馬偕紀念醫院等在臺受到信賴的大型醫療機構，也都積極強化防護以確保醫療運作與病患資料的安全。

隨AI技術的演進，意味着臺灣企業必須面對已經高度進化、速度與規模空前的AI自動化惡意攻擊。Vasu指出，駭客已能利用8成到9成以上的AI自動化進行攻擊狙殺鏈（kill chains），除了能快速尋找漏洞大幅縮短攻擊時間，傳統的釣魚郵件、訊息，甚至能以更擬真的內容、達到比過往高出4.5倍的點擊率，更不用說那些透過製造深度僞造（deepfakes）、難辨真僞的釣魚誘餌。

Vasu示警，如果臺灣產業的防禦機制未能跟上，將難以抵禦這類複雜的攻擊網路。

即使企業本身未正式導入AI，Vasu表示，有至少29％的企業組織，仍會面臨自家員工們將自行使用、未經公司管控的AI工具帶入工作場域，像這樣的「影子AI」（Unsanctioned AI）現象已非常普遍，同時也將對包含臺灣在內的企業帶來多種具體威脅。

Vasu分析，首先，員工在使用未經許可的AI工具時，可能會不慎輸入或讓AI存取企業內部的敏感資訊，導致機密資料面臨被過度分享及外泄（Data oversharing and leakage）的巨大風險。

其次，影子AI脫離了企業內部的資安與合規性控管，其資料處理方式極可能不符合當地的隱私規範或行業標準，進而引發法律與合規爭議。此外，未經資安單位審覈的AI工具，更可能存在安全漏洞，這爲網路攻擊者提供了新的破口，直接導致企業內部系統受到外部威脅入侵。

Vasu強調，身處全球供應鏈核心的臺灣企業，不僅是科技、醫療，傳統產業也同樣面臨駭客利用AI加速攻擊的嚴峻威脅，如果企業不正視員工私下使用影子AI的行爲，並建立相應的安全控管，將會使組織的創新與營運暴露在各種極大的風險之中。

此外，隨着企業未來將大量導入AI代理（Agentic AI），臺灣企業將面臨新型態安全漏洞帶來全新的防護盲區。Vasu指出，代理蔓延（Agent Sprawl）將使得企業內部會出現大量難以管理的AI代理，缺乏身分認證與能見度，駭客極可能透過提示詞注入（prompt injections）或越獄（jailbreaks）手法，操控企業內部的AI代理使其失控，甚至使其成爲內部的「雙面間諜」。

Vasu表示，微軟在與全球產業，和與臺灣科技業及醫療界等這些合作伙伴的持續努力中，在在印證了一個基本真理，那就是沒有人能單獨確保未來的安全，而在這場全球性的資安運動中，「臺灣的角色絕對是不可或缺的（absolutely essential）」，如何將複雜的資安技術語言，轉化爲企業決策者能理解的商業風險對話，並推動從基層到董事會的全面重視，是臺灣對抗這些威脅的當務之急。