網絡保安廠商 Fortinet 近日發佈 《2026 年全球威脅形勢報告》。報告指出，2025 年的網絡威脅已演變成有系統的端到端運作，黑客正利用「影子代理」（Shadow Agents）及代理式 AI 進一步壓縮攻擊週期，令企業面臨前所未有的挑戰。

隨著 AI 工具（如 WormGPT、HexStrike AI）的普及，黑客由發現漏洞到發動攻擊的速度大幅提升。

▪️反應時間減半： 關鍵漏洞的平均被利用時間（Time-to-exploit）已由過去的 4.76 天，大幅縮短至 24–48 小時。

網絡犯罪正迅速演變為高度組織化、自動化及人工智能（AI）驅動的產業。隨著 AI 技術演進，網絡安全的勝負不再取決於誰率先創新，而是誰能迅速將情報即時轉化為行動。

Fortinet 北亞區資訊安全總監鄺偉基（Daniel）強調，網絡攻擊已不再是零散事件，而是漸見成熟的工業體系。攻擊者利用生成式 AI 及威脅情資不斷精進攻擊鏈，防禦者必須透過 AI 協作與全球合作，才能縮短差距，並打破犯罪經濟循環。

鄺偉基引用 FortiGuard Labs 最新發佈的《2026 年網絡威脅預測報告》，指隨著 AI、自動化及成熟的供應鏈，網絡入侵將比以往更快速且容易。攻擊者不再專注研發全新工具，而是透過流水線式的 Pipeline 強化既有技術，形成「犯罪即服務」（Crime-as-a-Service）。

OT 系統原獨立於企業資訊科技網絡之外，主要用於監控矛水控制工業設備，如製造機器、電力系統、交通設施等。但隨著企業追求效率與即時監控，OT 與 IT 系統日漸融合，導致原本封閉的 OT 環境暴露於互聯網之中，企業攻擊面大幅擴展。黑客可透過 IT 網絡滲透至 OT 系統，造成生產中斷、設備損毀，甚至危及人身安全。

網絡安全方案供應商 Fortinet，近日發表《2025 年營運技術與網絡安全現況報告》顯示，52% 企業現由首席資訊安全總監（CISO）或首席安全總監（CSO）負責 OT 安全事務，遠高於 2022 年的 16%。更有高達 95% 企業已將 OT 安全納入 C-Suite 職責範圍，反映 OT 安全已成為董事會層級的重要議題，企業對 OT 安全的重視程度，亦顯著提升。

Fortinet 產品和解決方案高級副總裁 Nirav Shah 表示：「各企業愈來愈重視 OT 安全。將 OT 風險責任分配給高階管理層的現象顯著增多，自評 OT 安全成熟度提升的企業數量也有所增長。伴隨這些趨勢，我們看到在優先部署 OT 安全措施的企業中，受入侵影響的程度正在降低。」

Gartner 預測，到 2026 年，企業無法修補的攻擊面將佔總攻擊面的一半以上。企業的攻擊面不斷擴張，然而傳統漏洞管理聚焦於 CVE（已知漏洞），過度依賴 CVSS 分數，忽略資產的業務重要性與漏洞的可利用性，導致資源錯配，往往無法兼顧錯誤系統設定、未部署資安工具、老舊系統（EOL）、影子 IT（未經授權的應用）、雲端配置錯誤、程式碼弱點等問題。

有見及此網絡保安方案供應商 Fortinet 今日宣佈，旗下 FortiRecon 平台推出重大升級，以強化其持續威脅暴露管理（CTEM）能力。更新後的 FortiRecon 能全面支援 Gartner CTEM 框架的統一平台，協助企業從攻擊者視角主動識別風險、優先處理威脅，並加快應變流程，有效降低數據外洩風險。

▪️攻擊面管理：持續監控並提供組織內部與外部數碼攻擊面的攻擊者視角。新增國家漏洞資料庫（NVD）評級，結合 FortiRecon 主動利用嚴重性評級，提升漏洞修補效率；

隨著企業全面擁抱軟件即服務（SaaS）及雲端優先策略，應用程式從數據中心逐步遷移至雲端平台，企業的邊界亦隨之變得模糊而分散。這意味著網絡攻防的「第一線」也正迅速轉移至 SaaS 層面，安全團隊必須面對更複雜的設定錯誤、權限濫用、身份滲透與第三方整合風險。

根據 Fortinet 最新發佈的《2025 年全球威脅型態報告》，單在 2024 年，黑客於地下論壇上洩露逾千億筆帳號資料，當中大量涉及用戶名、密碼與電郵的「組合清單」資料。這反映出一種日益增長的趨勢：攻擊者不僅是非法入侵，他們更開始利用外洩的真實帳號資料進行合法登入。

而 SaaS 平台的共同責任模式，亦使問題變得更為複雜。雖然 SaaS 應用由供應商提供，但大部分方案的配置與權限管理，卻落在企業客戶自己手上。當企業引入愈來愈多 SaaS 服務而缺乏統一視野時，安全漏洞便層出不窮。