【臺灣資安大會直擊】中華電信建構ChainStrike AI驗證閘門

來源: iThome|日期: 2026-05-28
URL: https://www.ithome.com.tw/news/176193
講者: 吳明峰(中華電信資訊技術分公司資安產品股股長)
會議: CYBERSEC 2026(臺灣資安大會)


核心挑戰

「當你覺得自己開發速度已經很快,還有人更快;你快兩倍,有人快三倍、四倍。」

  • Coding Agent 讓 PR 數量暴增,傳統人工白箱掃描無法跟上
  • 關鍵矛盾: 開發速度極速化 vs. 資安檢核仍依賴人工 → 流程卡關

五大 AI 核心應用場景

場景說明
文件與設計產出AI 解析程式碼,自動產出說明文件、流程圖、DB Schema
開發與重構整包 JS 套件轉譯為 Python(投入足夠 Token 可完成)
資安品質提升相依性盤點、風險檢核、滲透測試、安全閘道
知識庫互動化既有知識庫轉為互動式問答資產
報告與例行作業自動化會議記錄自動生成、報表彙整

未來發展方向: Agentic SOC — 資安監控自動化與智能化


ChainStrike AI 驗證閘門

架構定位

  • 應用環節: AI 白箱檢測 + 預部署測試後安全驗證
  • 核心定位: 補強「可利用性驗證」層,非取代 CI / SAST / Code Review / SOC

核心能力

  • 整合開發程式碼、威脅情報、營運資料
  • 攻擊面探索
  • 身分權限驗證
  • 攻擊鏈編排
  • 漏洞與威脅情報關聯
  • 證據圖譜
  • 閘門政策引擎
  • 關鍵特性: 將潛在可疑風險轉化為具體證據

初步實驗成果

  • AI 能模擬資深資安工程師的攻擊鏈思路進行檢測
  • 每日自動研讀最新資安新聞與情資
  • 大幅縮短人工資安檢測時間

AI Agent 訓練方法

  1. 建立「出題組」+「考試組」+「專屬訓練環境」
  2. AI 反覆演練學會解題技巧
  3. 將解法抽象化為可重複使用的檢測模式
  4. 資深工程師角色轉型為「教練」,指揮 Code Agent 執行任務

模型效能評估(個人實測)

模型強項
Claude Code (Opus 4.6)解題邏輯 + 指令遵循,綜合表現最優
Cursor次之
OpenAI Codex任務拆解 + 並行處理能力較佳

未來治理框架

  • 操作形式: 傳統 UI → Agent 優先模式
  • 治理模式: 「人類決策、Agent 執行、系統稽核」
  • 核心呼籲: 從人員管控 → 對 AI、Agent 與工具鏈的全面治理

市場觀察

  • GitHub 上已湧現數十個 AI 滲透測試開源專案,顯示此技術熱潮正在加速

衍生頁面