科技業遭圍攻：深入解讀 CrowdStrike 2026 科技威脅態勢報告

基礎 AI 的構建模塊——包括模型、訓練數據和研究流程——現在已成為國家支持型間諜活動的首要目標 。包括 MURKY PANDA、MUSTANG PANDA、OVERCAST PANDA、SUNRISE PANDA 和 WARP PANDA 在內的特定中國攻擊組織，被觀察到針對科技業的攻擊頻率遠高於其他任何行業 。報告將這類活動描述為一種長期的情報蒐集行動，並輔以供應鏈滲透，旨在達成戰略目標而非立即獲取財務利益 。

北韓擴大「信任存取」作戰範圍

與北韓有關聯的威脅行為者，則發展出一套針對科技公司的獨特作戰模式。與北韓（DPRK）相關的組織不僅依賴傳統的入侵手法，更進一步透過「IT 工作人員滲透」——安排特工偽裝成遠端約聘人員進入西方科技公司——以及破壞軟體供應鏈，來取得受信任的存取路徑 。

這份以科技業為重點的報告特別強調了這類信任存取行動，而 CrowdStrike 同期發布的《2026 年金融服務威脅態勢報告》則更全面地描繪了北韓的駭客攻勢。該報告披露，與北韓有關的攻擊者在 2025 年竊取了數十億美元的數位資產，並利用 AI 驅動的欺騙手段，將網路犯罪推向產業化 。其中，FAMOUS CHOLLIMA 組織的作業頻率增加了一倍，而 PRESSURE CHOLLIMA 組織則透過一項涉及木馬化軟體的供應鏈攻擊，執行了有史以來規模最大的金融盜竊案——盜走價值 14.6 億美元的加密貨幣 。

網路犯罪加速進化：橫向移動時間僅剩 29 分鐘

以經濟利益為動機的網路犯罪分子也加大了對科技機構的攻擊力道，初期存取經紀人（IAB）、勒索軟體營運商和資料勒索組織，都將該行業視為優先目標 。CrowdStrike 的《2026 年全球威脅報告》也記錄到，2025 年網路犯罪的平均「橫向移動時間」（從獲得初始存取權限到在內部網絡擴展的間隔）已驟降至僅僅 29 分鐘，攻擊速度較 2024 年加快了 65% 。最快的入侵案例，從初始入侵到數據竊取只花了不到兩分鐘，甚至有一個案例僅耗時 27 秒 。

互動式、由真人主導的入侵——通常被稱為「親手操作鍵盤攻擊」——在過去兩年內增加了 43%，這讓攻擊者擁有高度的作戰彈性，可根據目標的價值，在資料竊取、勒索或情報蒐集之間靈活切換 。這種轉向真人操作的模式，意味著攻擊者能完美融入正常的系統管理行為，使偵測難度大幅提高 。

供應鏈與「信任利用」的致命問題

攻擊者不再完全依賴傳統的惡意軟體，而是加劇利用受信任的夥伴關係、有效的帳號憑證、SaaS 整合服務和軟體供應鏈來發動攻擊 。報告指出，2025 年所有偵測到的活動中，有 82% 是「無惡意軟體」的，因為攻擊者會「就地取材」，利用系統中的合法工具和 AI 強化的社交工程攻擊，來繞過以特徵碼為基礎的防禦系統 。

AI 平台和開發者工具現在也成為直接的攻擊目標。攻擊者會滲透受信任的程式碼儲存庫、CI/CD 流程和工作流，以取得對下游目標的持續性存取權限 。這種供應鏈攻擊模式，意味著只要破壞一個開發工具，就能連鎖性地取得數十甚至數百家組織的存取權限，完全無需對最終目標進行直接入侵。

AI 攻擊面急劇擴張

在本次報告的調查期間，人工智慧已演變為一種雙重威脅。攻擊者利用 AI 輔助的活動年增率高達 89%，大幅加速了網路釣魚、偵察、社交工程和技術操作等攻擊環節 。攻擊者會使用 ChatGPT、Gemini 和 DeepSeek 等公開的生成式 AI 工具，來進行社交工程、開發惡意軟體和規劃行動 。

於此同時，AI 系統本身也變成了一個全新的攻擊面。超過 90 個組織的合法 AI 工具遭到濫用，被用來產生惡意指令或竊取敏感的模型數據 。報告記錄到，攻擊者會向已在生產環境中運作的生成式 AI 工具注入惡意提示詞，並濫用 AI 開發平台來盜取智慧財產權 。

報告將 2025 年定調為「規避型攻擊者之年」，這一年的攻擊特點是鎖定受信任的關係、展現對 AI 工具的高度熟悉，以及融入專為攻擊端點、身份、SaaS 和雲端環境中的安全盲點而設計的特殊技術 。

CrowdStrike 的報告明確指出，科技公司已無法仰賴過時的防禦思維來對抗這種威脅聚合。 當攻擊者從初始入侵到內部橫向擴散的時間不到 30 分鐘，且大多數攻擊都不帶有任何惡意軟體特徵時，以已知惡意指標為基礎的偵測策略，從根本上就已不再足夠。這個打造出全球最先進技術的產業，已成為全球數位領域中爭奪最激烈、最危險的戰場。