九成中小企業防護不足　中保科技論壇呼籲正視AI時代資安管理

台灣中小企業撐起一片天，但是公司運作的資安防護在專家眼中卻是門戶洞開。在AI技術快速發展的時代，中小企業提升效率與創新，同時面臨高度資訊安全風險，一旦遭受攻擊，將可能造成營運中斷與財務損失。2026智慧城市展中保科技論壇在18日下午邀請台灣數位資產暨開放科技協會DAOTAT監事黃廷弘，以「中小企業AI時代的資安管理」為題，分享在AI浪潮下，中小企業所面臨的資安風險及解方；如何在追求高效及創新而導入AI過程中，又能兼顧建構資安治理體系。

「IT不等於資安！」黃廷弘指出，幾乎九成中小企業沒有資安主管，處在現代高度數位化環境中，放眼所及中小企業都缺乏資安專業能力與人員，發現45%因預算與資金不足；再加上台灣環境一年只有培育2000位資安人員，大企業的高薪誘惑讓更少比例的專業人員進入所需職場，在防護、應變及監控能力低的狀況下，中小企業大多位於高度資安風險中。

黃廷弘說，70%中小企業一年應該都經歷一次的資安事件，想要解決資安缺工痛點，建議導入AI讓團隊戰力翻倍，尤其AI的自動收斂掃描工具可以查出大量弱點，一鍵生成合規對照清單與修補建議草稿，有效提升資安防護能量。

「AI帶來的最大風險不是攻擊，是資料外洩。」黃廷弘表示，從分析數據看到15%員工會定期使用生成式AI，但是有72%使用非公司帳號登入AI工具，即使17%使用公司帳號，卻沒有整合身份驗證，每一層都是資料外洩破口。還有近期風行的小龍蝦(OpenClaw)，要是AI執行權限上沒有加以控管，很容易就會遭受攻擊產生進一步損失。

黃廷弘指出，中小企業必須注意絕對不能用「公開且會保留對話紀錄的AI模型」，而且絕對不能相信AI的最終決策與無風險保證，還是需要人類介入檢視成果。對於許多中小企業開始導入AI客服，提醒先評估建立核心大腦，選擇適合的方案，建置與設定時需要防範AI幻覺產生，最後要不斷優化與持續升級，才能確保企業資訊安全。

專家還提供今年農曆年前的接觸業界的個人經驗分享，前來諮詢的6家企業中，還有2家是上千人的IC設計與零售業，結果全都沒有資安保險，備份可完整還原只有三分之一，估計最終超過一半透過贖金支付才拿快速解決問題，顯示目前勒索軟體猖獗的現況。

黃廷弘表示，中小企業想要做好資訊安全防護，除了建立資安部門，還可以設定多重驗證、必要時可以進階使用FIDO無密碼身分驗證方式，同時記得做到AI 時代的資訊資產分類保護、風險評估與分析、訂定基本資安政策與IT供應鍊第三方風險管理等事項，就能抵擋風險較高較易攻擊的資安威脅，確保公司運作順暢。