證監會發通函促金融機構防範AI網絡攻擊 警告威脅升温要求審視網絡安全框架

香港證券及期貨事務監察委員會（證監會）近期向業界發出嚴正通函，警告隨著人工智能（AI）技術的迅猛發展，由AI模型驅動的新興網絡威脅正急劇升温，其複雜性與頻率遠超傳統攻擊模式。有見及此，證監會敦促所有持牌法團、獲發牌的虛擬資產服務提供者（VASP）及其有聯繫實體（統稱「持牌機構」），務必立即檢視並升級其網絡安全措施，以應對前所未有的營運幹擾風險。 根據香港網絡安全事故協調中心的最新數據顯示，本港網絡攻擊事故數目呈上升趨勢，由2024年的12,536宗，大幅增加27%至2025年的15,877宗，凸顯網絡安全形勢日益嚴峻。AI工具的普及無疑為惡意攻擊者提供了更強大的武器，令持牌機構、其員工及客户面臨嚴峻挑戰。 證監會深入分析指出，AI的發展與普及，大幅降低了網絡攻擊的技術門檻及成本，並為網絡犯罪帶來兩大關鍵轉變： 首先，**攻擊複雜度與頻率顯著日增**。AI模型現已具備自主策劃、跨系統並執行多步驟複雜攻擊的能力。黑客能利用AI迅速識別「零日漏洞」，甚至將多個「風險評級較低」的漏洞串連利用，進而發動大規模癱瘓式攻擊。同時，AI的應用也降低了實施網絡釣魚、社交工程、深度偽造（Deepfake）身份冒充及偵察的難度，使得攻擊更具針對性和欺騙性。 其次，**安全應變時間大幅縮短**。由於AI能以極快速度發現系統弱點，從漏洞被披露到被黑客利用的時間間隔正急速縮短。傳統「協調、測試、部署」的修補程序已難以追趕AI所帶來的極端速度，對機構的快速應變能力構成嚴峻考驗。 證監會中介機構部執行董事葉志衡強調指出，網絡安全風險是金融業目前面對的一大挑戰，亦一直是證監會監察持牌機構的監管重點。他重申，隨著前沿AI模型日趨強大且普及，由AI驅動的網絡威脅勢必迅速加劇，並將使偵測及遏制這些威脅的工作更為複雜。因此，持牌機構的高級管理層應肩負起首要責任，確保機構的網絡韌性，並保障客户資產的安全。 為協助持牌機構（尤其是網上經紀行和虛擬資產交易平台）有效保障客户資產與機密資料，證監會明確要求機構的高級管理層（包括負責資訊科技職能的核心職能主管）負起最終責任，並針對以下五大範疇全面檢視及加強其網絡安全框架： 1. **修補及漏洞管理：** 持牌機構必須建立並每日更新「科技資產清單」（涵蓋硬件、軟件、雲端等）。針對影響業務關鍵組件的已知漏洞，應制訂緊急修正政策，並分配充足資源，以應付可能急增的修補需求。
2. **接達及權限監控（零信任架構）：** 系統設計應基於「任何使用者或裝置均可被入侵」的假設，全面落實最小權限原則。機構應強化防火牆與微網絡分段，以限制橫向移動，並將所有外部輸入視為具對抗性內容，防止其直接更改系統指示。
3. **偵測及監察措施：** 提升收集威脅情報的能力，加強對客户交易活動及系統異常情況的即時監察，確保偵測速率能追上AI驅動的攻擊速度。
4. **第三方供應鏈風險管理：** 完善對第三方服務提供者的初步和持續評估，將最新的AI威脅形勢納入管治框架，確保外判服務不會成為網絡安全的破口。
5. **事故應變與迅速復原：** 傳統的事後調查與層報機制已不足以應付AI攻擊。持牌機構應建立預先計劃的控制損毀及阻斷策略（例如迅速封鎖惡意活動、隔離系統），並定期透過桌面演練或模擬攻擊測試應變計劃。同時，必須定期備存業務與客户數據庫，並確保備份副本隨時可用。 此外，證監會亦特別提醒，持牌機構如在業務運作中採用內部或第三方的AI語言模型，必須警惕對抗性攻擊、數據洩露及提示詞被推翻等額外風險。若擬將AI用於高風險用例，則必須遵守相關的通知規定。 未來，證監會將持續密切監察網絡安全的最新發展，並將與業界、主要科技服務提供者及其他監管機構保持緊密溝通。基於風險形勢的不斷演變，證監會在適當情況下或會發出進一步指引，進行檢視以評估持牌機構在處理網絡安全事故方面的準備程度及應變能力，或採取監管行動，以維護市場的健全性與投資者利益。