【臺灣資安大會直擊】中華電信建構ChainStrike AI驗證閘門
來源: iThome|日期: 2026-05-28
URL: https://www.ithome.com.tw/news/176193
講者: 吳明峰(中華電信資訊技術分公司資安產品股股長)
會議: CYBERSEC 2026(臺灣資安大會)
核心挑戰
「當你覺得自己開發速度已經很快,還有人更快;你快兩倍,有人快三倍、四倍。」
- Coding Agent 讓 PR 數量暴增,傳統人工白箱掃描無法跟上
- 關鍵矛盾: 開發速度極速化 vs. 資安檢核仍依賴人工 → 流程卡關
五大 AI 核心應用場景
| 場景 | 說明 |
|---|---|
| 文件與設計產出 | AI 解析程式碼,自動產出說明文件、流程圖、DB Schema |
| 開發與重構 | 整包 JS 套件轉譯為 Python(投入足夠 Token 可完成) |
| 資安品質提升 | 相依性盤點、風險檢核、滲透測試、安全閘道 |
| 知識庫互動化 | 既有知識庫轉為互動式問答資產 |
| 報告與例行作業自動化 | 會議記錄自動生成、報表彙整 |
未來發展方向: Agentic SOC — 資安監控自動化與智能化
ChainStrike AI 驗證閘門
架構定位
- 應用環節: AI 白箱檢測 + 預部署測試後安全驗證
- 核心定位: 補強「可利用性驗證」層,非取代 CI / SAST / Code Review / SOC
核心能力
- 整合開發程式碼、威脅情報、營運資料
- 攻擊面探索
- 身分權限驗證
- 攻擊鏈編排
- 漏洞與威脅情報關聯
- 證據圖譜
- 閘門政策引擎
- 關鍵特性: 將潛在可疑風險轉化為具體證據
初步實驗成果
- AI 能模擬資深資安工程師的攻擊鏈思路進行檢測
- 每日自動研讀最新資安新聞與情資
- 大幅縮短人工資安檢測時間
AI Agent 訓練方法
- 建立「出題組」+「考試組」+「專屬訓練環境」
- AI 反覆演練學會解題技巧
- 將解法抽象化為可重複使用的檢測模式
- 資深工程師角色轉型為「教練」,指揮 Code Agent 執行任務
模型效能評估(個人實測)
| 模型 | 強項 |
|---|---|
| Claude Code (Opus 4.6) | 解題邏輯 + 指令遵循,綜合表現最優 |
| Cursor | 次之 |
| OpenAI Codex | 任務拆解 + 並行處理能力較佳 |
未來治理框架
- 操作形式: 傳統 UI → Agent 優先模式
- 治理模式: 「人類決策、Agent 執行、系統稽核」
- 核心呼籲: 從人員管控 → 對 AI、Agent 與工具鏈的全面治理
市場觀察
- GitHub 上已湧現數十個 AI 滲透測試開源專案,顯示此技術熱潮正在加速
衍生頁面
- 中華電信建構ChainStrike AI驗證閘門加速AI安全檢測預部署驗證 — 核心概念頁面
- chunghwa-telecom — 中華電信實體頁面