資通安全研究所立足量子與AI時代 建構宏觀且前瞻的資安體系

1994年，秀爾演算法（Shor’s Algorithm）的問世，已從理論上證實，一旦具備大規模運算能力的量子電腦出現，現行的公鑰密碼系統將會遭受嚴重衝擊。這種威脅的可怕之處在於，問題並非源自人為疏失，而是公鑰密碼系統最核心的數學難題將被徹底破解。

更重要的是，將現有公鑰密碼系統全面遷移至後量子密碼系統，勢必需要投入漫長的時間與大量資源，包括：後量子標準的選擇、系統升級，以及軟／硬體部署等，這將是一場耗時且高成本的轉型工程。

量子時代的資安防禦

正因如此，即便量子電腦的硬體與演算法仍在持續發展，考量到未來的資安威脅與遷移成本，後量子密碼學的相關研究早已如火如荼地展開。

針對量子電腦的資安威脅，目前業界主要有兩種防禦方向。

第一種，量子密碼學（Quantum Cryptography）。

這是基於量子力學特性的密碼學，最著名的例子是量子金鑰分發（Quantum Key Distribution, QKD）。因為量子力學的特性，量子密碼學有極高的安全性，但實務上受限於成本、技術與裝置，使得其實現與使用相當困難。

第二種，後量子密碼學（Post Quantum Cryptography, PQC）。

延續傳統密碼學思維，尋找量子電腦不擅長處理、更困難的數學問題，並以此為基礎建構新的密碼系統。量子電腦雖然強大但並非萬能，只擅長處理特定類型問題，而後量子密碼學正利用這一點進行防禦。

大規模量子電腦何時會出現，目前仍眾說紛紜，但量子電腦造成的資安危機已是可預見的事實，全球資安界早已開始尋找不受量子電腦威脅的密碼學，成為後量子密碼學的由來。

後量子密碼學成必修課

面對潛在威脅，美國聯邦政府已明確表示，現有的公鑰密碼系統，如：RSA 與ECC等，在2030年後 就應該開始被棄用（deprecated），在2035年後就應該不再被允許使用（disallowed），使得後量子密碼學成為業界必須立即著手研究的技術。

美國國家標準研究院（NIST）為因應量子威脅，啟動後量子密碼學標準化流程，目前已選出多個聯邦資訊處理標準（Federal Information Processing Standards, FIPS）。

鴻海研究院資通安全研究所（簡稱資安所）不僅參與美國家標準研究院舉辦的後量子密碼學競賽，研究報告提交該院後，也在2023年7月刊登，顯示資安所的研究成果已獲該院認可。另一方面，資安所2024年的一項重要研究成果，便是在MCU上實作FIPS 203（ML-KEM），並透過實際執行金鑰交換驗證實作的正確性，顯示資安所已掌握了後量子密碼技術。

不過，後量子密碼學演算法雖然能抵抗量子電腦的攻擊，但在計算效率、公鑰、簽章等規格方面，往往不如現今使用的RS 與ECC。因此，資安所也將研究重心著重在如何優化後量子標準的執行效率，使其能順利嵌入現有硬體，成為安全屏障。而這也會使企業和組織從目前使用的傳統加密技術，進行後量子遷移的過程能更加順暢。

AI 時代的資安挑戰與策略

隨著AI技術的快速成熟，全球產業版圖正悄然改寫，企業運作因此更加智慧高效。然而，AI與資安的交織，也形成了三大關鍵面向。

首先，駭客開始運用AI強化攻擊手法，使變種攻擊更快速、更精準，甚至能自動客製化滲透特定目標；其次，資安防護亦必須善用AI，以動態學習與即時調整來突破傳統規則式偵測的局限；最後，AI本身也潛藏風險，若訓練資料遭惡意汙染，模型可能被植入後門，成為新的安全隱患。顯然，AI已不僅是產業升級的引擎，更是資安領域的決勝關鍵。

為了正面迎擊這些挑戰，資安所善用AI，將其化為對抗資安威脅的利器，並展開關鍵研究，打造出一套AI動態防禦技術。這項技術不僅強化了既有的靜態偵測能力，更能即時學習、即時調整，捕獲最新攻擊手法；不僅如此，這項技術還將 AI威脅偵測模型與全球網路威脅情資資料庫（CTI）結合，持續吸收來自世界各地的駭客手法，並將情報轉化為模型的判斷依據。

結果顯示，新技術大幅提升了對未知攻擊的捕獲率，相關成果更已刊登於頂尖國際期刊。這意謂著，未來企業的辦公網路與生產線聯網設備，將擁有一層更強韌的防線，能在威脅發生之前就主動因應，降低龐大財務與營運損失的風險。

然而，挑戰並不止於此。另一個隱蔽的風險，潛藏在AI大語言模型的訓練過程中。

模型在大規模學習時，可能同時捕捉到不安全或具危險性的行為模式，並在特定情境下被觸發，造成潛在的安全隱憂。面對這個問題，資安所提出了一項創新方法—透過演算法精準鎖定與「毒性言論」相關的參數，並進行權重減法運算，大幅降低模型的不安全行為，同時保留其完整功能與效能。

這項研究成果已投稿至國際頂尖會議，並獲得審查委員的肯定。未來，無論是客服、教育還是醫療等場景，這項技術都能透過抑制與毒性行為相關的模型權重，讓模型「遺忘」不安全行為模式，降低AI受到惡意操控的風險，確保模型輸出更穩定、更可信，並在推動AI安全應用的同時，提升社會對智慧科技的信任感。

「即時防禦」 與「風險移除」這兩項突破為AI資安奠定了全新的能力。未來，資安所將持續深耕AI模型的安全性、可解釋性與輸出驗證，並與產業及學界緊密合作，推動這些成果落地實際應用。產業的需求將帶來真實場景的驗證，而學界的研究則能持續提供前沿理論與技術突破，兩者相輔相成，加速AI資安防護網的進化。最終，將形成一張能即時學習、即時調整的智慧資安防護網，在看不見的數位戰場上，為企業與用戶守護最關鍵的信任。

打造堅韌資安防線

鴻海科技集團推動的資安治理，目標是建立宏觀且「健全」的資安防護體系，從高層的重視與支持，滲透到日常執行與維運，由上而下建立起鴻海的資安文化，並制定出符合集團現況的資安規劃與投資。此外，亦透過工作小組之間的協作與機制的導入，將集團政策落地並有效被遵循。

這項工作的核心，是由鴻海董事長劉揚偉擔任主席的資安治理委員會所推動。委員會成員包括：特定子公司最高主管、管理公司資訊和網路最高主管、鴻海研究院資安所所長，公司財務、人資、法務、稽核等高階主管則視所需專案列席。

委員會亦設有祕書處，負責集團資安治理之策略規劃與制定，並定期召開委員會向高層匯報策略方向、成效，以持續強化集團資安韌性，並滿足客戶的隱私和財產權保護。

委員會轄下分為資安治理工作小組、資安維運工作小組。前者負責資安治理策略方向擬定、資訊安全政策和相關規範制定，確保法規的遵循性查核；後者則落實建置、維運資安架構、設備，在資安防護、風險評估等工作，確保資安執行成效。

實地參與運作的鴻海研究院執行長暨資通安全所所長李維斌觀察，委員會的主要特色有二：

第一個，是統一標準和語言。鴻海科技集團事業體龐大，各單位過去對資安事件的定義、判斷等級、通報流程均不相同，委員會因而制定全集團適用的資安事件判斷原則、通報等級，確保所有單位能用相同邏輯溝通，大幅提升應變韌性與效率。

第二個，是以「勒索軟體」（ransomware）為核心切入，建立一套從預防、偵測到還原的完整防禦體系。如同投石入塘泛起漣漪，從建立中央及各集團公司之緊急應變中心（Emergency Response Center, ERC）開始，組織全集團之資安應變小組，從而帶動各事業群完善資安防護，形成堅韌防護網。

以資安治理與區域聯防為核心戰略，除了落實國際資安框架外，也由集團中央主導，串聯子公司、關係企業，成立資安聯防小組，並橫跨子公司建立情資共享與協同合作機制，希望透過橫向聯結，建構及時交流威脅情資與共享防禦經驗，形成互相支援的聯防網路。

此外，透過集團中央建構資安監控中心（SOC）與SIEM平台，導入AI分析監控與聯防通報，則可使情資於組織間流動，提前發現並阻止攻擊，實現全球即時資安監控，保障業務穩定運作；當事件不幸發生，亦依循集團中央政策，迅速整合各方資源，成立緊急應變中心，形成偵測、通報、聯合處置的完整防禦體系，共同應對日益複雜且多元化的網路威脅。

這項戰略的成效備受肯定， 於2024年首度參與TCSA台灣企業永續獎評比，就榮獲「資訊安全領袖獎」，肯定集團對於資安的重視及布局的成效，更以「聯防」的精神，帶動集團共同提升資安韌性。

面對量子威脅與AI變局，唯有前瞻投入與治理升級，企業才能站穩未來安全防線。在時代的快速變化下，需將信任置於合規之上，並主動識別風險、前瞻部署，因為資安不只是防禦，更是創造競爭優勢的關鍵。