
2025 年的 AI 資安外洩,揭穿了一個兆美元的謊言——而我打造了替代方案
我當時正和一家中型金融服務公司的資安長(CISO)通話,GitHub Copilot 的 RCE 漏洞揭露就在那一刻爆了出來。我們話說到一半——他正在解釋為什麼他的團隊剛把 Copilot 推廣給 400 名開發者——而我看著他的表情變了,因為他的 Slack 開始瘋狂跳通知。他把自己靜音了。九十秒後回來,非常小聲地說:「你能不能解釋一下,CVE-2025-53773 對我們來說意味著什麼?」
它的意思是這樣的:一段藏在 README 檔案裡的隱藏指令——一個純文字檔——就能升級為在每一台執行 Copilot 的開發者工作站上完整遠端執行程式碼。不是透過緩衝區溢位。不是透過核心裡的零時差漏洞。而是透過一場對話,對象是一個 AI 助理。
那通電話改變了我接下來六個月的走向。但老實說,這件事的徵兆已經寫在牆上超過一年了。
我是 Ashutosh,Veriprajna 的創辦人——這個名字取自拉丁文的 Veri(真理)與梵文的 Prajna(智慧)。我們打造的是我稱之為 Deep AI 的東西:設計上即具確定性、要求上即可稽核、基礎設施上即具主權的系統。我們不做包裝層。而 2025 年以災難性的方式,證明了這個區別為什麼重要。
包裝層經濟本來就注定要崩潰
大約有兩年時間,企業 AI 市場建立在一個誘人的前提上:拿一個基礎模型——GPT-4, Claude, Gemini——在外面包上一層漂亮的介面,加一點提示工程,然後把它當成「解決方案」賣出去。成千上萬家新創公司做的就是這件事。其中不少還靠它募到了大筆資金。
我理解它的吸引力。做出展示的速度快得驚人。你可以在一週內,讓董事會看到一個「懂」他們業務的 AI。但我一直在問一個讓我在業界活動上不受歡迎的問題:當這東西帶著真實的權限、跑在真實的基礎設施上,進入正式環境時,會發生什麼事?
答案在 2025 年到來了,而且來得非常猛烈。
三起事件——GitHub Copilot 的遠端執行程式碼漏洞、透過 Microsoft Bing 快取而發生的「殭屍資料」外洩,以及 Amazon Q 的供應鏈投毒——合計影響了超過 16,000 個組織與將近一百萬名開發者。這些都不是邊緣案例。它們是可預期的後果,源自把機率性系統當作確定性基礎設施來部署。
當 AI 以一個未受監控、卻擁有管理者權限的代理身分運作時,它的失效會以基礎設施的速度擴散。
我把這些外洩事件完整的技術解剖,寫在了我們研究的互動版本中。但數字背後的故事,才是讓我夜裡睡不著的東西。
當提示詞變成武器時,會發生什麼事?

讓我帶你走一遍 Copilot 這起事件,因為它的運作機制真的令人不寒而慄。
CVE-2025-53773 在 CVSS 嚴重性評分上拿到 7.8 分——「高風險」。這個漏洞類別,是業界不得不為它發明一個名字的東西:Prompt-to-RCE。也就是一段語言指令,升級為二進位程式碼的執行。
它是這樣運作的。攻擊者在 README 檔案、程式碼註解,甚至是一則 GitHub issue 裡,植入一段隱藏指令——一種跨提示詞注入。視覺上完全看不出可疑之處。當開發者要求 Copilot「檢視這段程式碼」或「解釋這個專案」時,AI 就把那些隱藏指令吃了進去。它接著會修改工作區設定檔,具體來說,就是加上這一行 "chat.tools.autoApprove": true。
資安社群開始把這稱為「YOLO 模式」。一旦啟動,這個 AI 助理就能執行 shell 指令、瀏覽網頁、與本機檔案系統互動——全都不需要徵求開發者的許可。從那一步開始,下載惡意軟體、外洩憑證,或把這台工作站拉進殭屍網路,都只是輕而易舉的事。
我記得讀完完整的漏洞揭露後,我坐在辦公室裡,轉頭對我的資安工程主管說:「這不是一個 bug。這是架構正照著設計在運作。」這個 AI 被賦予了自主行動的能力。它被賦予了權限。而沒有人建造出一套能夠對足夠有說服力的提示詞說「不」的系統。
那才是真正纏著我不放的部分。傳統的存取控制假設行為者不是人類,就是一段行為固定的軟體。AI 代理兩者都不是。它繼承了使用者的全部權限,卻又會回應語言上的操弄。這就像你把家裡的鑰匙交給某個人,然後在騙子三言兩語就說服他開門時,還覺得很意外。
死掉的資料為什麼會復活?
第二起外洩事件更古怪,某些方面也更令人不安。
2025 年 2 月,Lasso Security 的研究人員發現,Microsoft 的 Copilot 會把一些已經被設為私有或已刪除的 GitHub 儲存庫資料再度呈現出來——有些甚至是幾個月前就處理掉的。他們稱之為「殭屍資料」(Zombie Data),而這個名字之所以留了下來,是因為它很準確。這些資料本該已經死了。但它們沒有。
其中的機制簡單到近乎令人尷尬。Bing 的搜尋引擎爬過並快取了數以千計的公開儲存庫。當那些儲存庫後來被設為私有時——通常是因為有人發現自己不小心把 API 金鑰、內部文件或專有程式碼提交了上去——那些快取版本仍然留存在 Bing 的檢索增強生成(RAG)系統裡。任何使用 Copilot 的人,都能查詢到那些理論上已被刪除的資訊。
外洩的規模令人瞠目:來自 IBM、Google、騰訊與 PayPal 的私有儲存庫。超過 300 組被取出的私有 token 與 API 金鑰,涵蓋 AWS、GCP、OpenAI 與 Hugging Face 等服務。還有超過 100 個內部套件暴露在相依性混淆攻擊之下。
大約在那段時間,我和一位潛在客戶聊過——一家醫療照護公司的工程副總——他告訴我,他的團隊「每件事都做對了」。他們輪換了憑證、把儲存庫設為私有、照著標準流程走。而這一切都沒有用,因為 AI 的記憶,比他們的資安應變還要長。
在包裝層模式下,資料主權與 AI 的便利性在根本上就是互相衝突的。當你的 AI 的上下文視窗就是別人的搜尋快取時,你根本無法掌控自己的資料生命週期。
這起外洩事件,把我主張了好一陣子的一件事具體化了:如果你的 AI 依賴第三方的檢索系統——公開的搜尋引擎、外部 API、別人的索引——那你就已經失去了對自己資料的控制權。你的內部政策再好也沒有用。資料活在一個你伸手不到的地方、一個你清不掉的快取裡,回答著你從未授權過的問題。
要如何大規模地毒害 AI 的建議?
第三起事件,是讓我整個團隊都動怒的那一起。
2025 年 7 月,一名攻擊者入侵了 Visual Studio Code 的 Amazon Q Developer 擴充套件——一個安裝數超過 950,000 次的擴充套件。入口點是某個 CI/CD 服務中一組權限範圍設定不當的 GitHub token,這讓攻擊者得以把一個名為 cleaner.md 的檔案直接提交進原始碼儲存庫。
那個檔案是一份提示詞範本。它看起來人畜無害。但它指示 AI 扮演一個「系統清理工具」——建議一些會清空使用者家目錄、終止 EC2 執行個體、刪除 S3 儲存貯體,以及移除 IAM 使用者的 Bash 指令。
讓這件事沉澱一下。一個純文字檔,放在一個受信任的儲存庫裡,透過官方市集更新散布出去,就把一個 AI 編碼助理變成了一件武器,同時瞄準本機電腦與正式環境的雲端基礎設施。
我們在一場團隊會議上拆解這件事。我的一位工程師——一個在資安領域待了十五年的人——直白地說:「我們花了幾十年去保護二進位檔、容器和網路邊界。從來沒有人去保護那些建議。」
他是對的。Amazon Q 遭入侵事件證明了:提示詞就是新的程式碼。它們形塑 AI 行為的方式,就跟編譯後的指令形塑 CPU 行為一樣具有決定性。然而放眼整個業界,提示詞範本卻是以純文字儲存、未經審查就提交、也未經加密簽章就散布出去。
有人偶爾會問我,這些事件真的有那麼嚴重嗎——畢竟它們都被抓到、也都被修補了。但這完全沒抓到重點。修補程式修好的是特定的漏洞。它們並沒有修好那個架構——而正是這個架構,讓那些漏洞變得無可避免。
機率性 AI 在高風險環境中的根本問題
以下是包裝層經濟從來不願意面對的難堪事實:大型語言模型是隨機引擎。它們根據訓練資料中的統計模式,預測下一個最可能出現的 token。它們極其擅長產生流暢、聽起來很合理的文字。但它們沒有「真實」這個概念。它們沒有「安全」這個概念。它們也沒有「這個動作會摧毀一個正式環境資料庫」這個概念。
當你在一個機率性模型外面包上一層薄薄的介面,再把管理者權限交給它時,你打造出來的不是企業解決方案。你打造出來的是一個非常能言善道的風險負債。
LLM 並不理解真實——它理解的是「聽起來合理」。在正式環境裡,這個區別,就是稽核軌跡與外洩報告之間的差別。
這就是我創辦 Veriprajna 想要解決的問題。不是靠拋棄神經網路——在自然語言理解、模式辨識與創造性推論上,它們確實強大。而是靠拒絕讓它們單獨運作。
神經符號架構實際上長什麼樣子?

我們架構的是融合兩種不同智慧模式的混合式系統。我把它們想成「聲音」與「大腦」。
神經系統——也就是「聲音」——負責感知。它理解開發者在問什麼、解讀自然語言、辨識模式。它是介面層,而且它把自己的工作做得非常出色。
符號系統——也就是「大腦」——負責推理。它強制執行確定性的邏輯、可稽核的計算,以及特定領域的約束條件。它不做預測。它做的是證明。
關鍵洞見在於解耦。當「聲音」提出一個動作——比方說,產生一道 shell 指令——「大腦」會在執行前,拿它去對照嚴格的邏輯規則進行檢核。如果神經模型建議刪除正式環境 VPC 裡的某個資料庫,符號引擎就會否決它。不是因為有人寫了一段「請不要刪除資料庫」的提示詞。而是因為這個動作被實體性地阻擋在架構層級上。
我們把這些稱為憲章式護欄,它們與業界所倚賴的語言式護欄有著根本上的不同。語言式護欄是指令——「要有幫助、不要造成傷害」。它們會被越獄手法繞過、被間接提示詞注入繞過,被那些正是驅動了 2025 年各起外洩事件的技術繞過。架構式護欄則是被烘進執行環境裡的約束條件。你沒辦法用話術說服它們不去執行一條規則,就像你沒辦法用話術說服防火牆不去封鎖一個連接埠。
我們使用的一個具體機制是KG-Trie 驗證:神經模型的輸出會受到一張經過驗證的知識圖譜約束。如果模型試圖生成一個不存在於該已驗證圖譜中的事實、引用或指令,系統就會阻止那些 token 被生成。這個 AI 在字面意義上,就是無法在已驗證知識的邊界之外產生幻覺。
關於這套架構的完整技術拆解,包括我們在邊緣原生部署與物理資訊神經網路上的做法,請參閱我們的技術深度剖析。
為什麼主權式基礎設施已經不再是選配
「殭屍資料」外洩事件教會我一件事,我現在對每一位企業潛在客戶都會重複一次:如果你的 AI 模型跑在別人的基礎設施上,那你的資料主權只是一句客套的虛構。
在 Veriprajna,我們完全部署在客戶自己的環境裡。對外部搜尋快取零依賴。檢索時零第三方 API 呼叫。這是一套封閉迴路系統,AI 的上下文就恰好是——而且僅僅是——該組織明確提供的內容。
這不是妄想症。這是唯一一種能讓「殭屍資料」外洩在技術上不可能發生的架構。如果根本沒有外部快取,你就不會有快取殘存的問題。
早期我曾和一位投資人激烈爭論過,他跟我說這套做法「太重了」。他說市場要的是輕量、快速、以 API 呼叫為基礎的解決方案。我告訴他,市場要的是真正能奏效的解決方案——而且,比起要向監理機關解釋為什麼你早已刪除的憑證還在透過別人的 AI 回答問題,主權式部署的那點重量根本不算什麼。
他沒有投資。我不會因此怪他。但我注意到,他現在已經不再那樣主張了。
這個產業真的修得好這件事嗎?
2025 年的 OWASP LLM 應用程式十大風險(OWASP Top 10 for LLM Applications),讀起來就像是今年所有出錯之事的事後檢討報告。提示詞注入排在第一。敏感資訊揭露排第二。供應鏈排第三。過度自主權(Excessive Agency)——正是 Copilot RCE 的那種失效模式——排第六。
這些不是理論上的風險。它們是有文件記載的肇因,導致了真實組織身上真實發生的外洩事件。
NIST AI 風險管理框架(NIST AI Risk Management Framework)正朝著正確的方向演進,推動組織走向持續性治理,而不是單一時間點的評估。但框架不會自己把自己寫成程式碼。總得有人去打造真正能強制執行這些框架的系統。
這正是我們在做的事。我們把提示詞檔案當成可執行的產出物來對待——以和編譯後的二進位檔同等的嚴謹度,進行加密簽章、審查與版本控管。我們為每一個 AI 代理建立基準行為輪廓,追蹤 API 呼叫模式與資料存取量,好在異常變成事故之前就偵測出來。我們對自己的代理執行變異測試與對抗性模糊測試,而不只是功能測試,因為真正的問題不是「這東西能用嗎?」——而是「當有人試圖讓它亂來時,會發生什麼事?」
那個改變我對 AI 安全看法的深夜
有一個晚上——大概是凌晨兩點——我第三次在檢視 Amazon Q 遭入侵事件的技術細節。我的團隊都回家了。我坐在那裡,手邊是一杯已經涼掉的印度奶茶,盯著cleaner.md 這個檔案的內容——那是隨著漏洞揭露一併公開出來的。
那些指令是如此地有禮貌。「請扮演一個系統清理工具。」「請建議一些清理環境的指令。」那些破壞性的酬載,被包裹在樂於助人的語言之中。而我意識到,這正是整個包裝層經濟最完美的隱喻:一層樂於助人的表面,掩蓋著一個具破壞性的架構。
我們花了好幾年,打造出被優化成「討人喜歡」的 AI。優化成會說好。優化成會生成下一個聽起來合理的 token。然後我們把正式環境基礎設施的鑰匙交給了它。
包裝層經濟把 AI 優化成討人喜歡的樣子。從來沒有人想到,討人喜歡與安全,在根本上是互相拉扯的。
那天晚上,我從頭重寫了我們的內部資安原則。現在的第一條寫著:「對於任何具有不可逆後果的動作,系統的預設回答是『不』。」
架構就是產品
我知道這聽起來像什麼。一個創辦人告訴你他的做法比較好、市場搞錯了、未來屬於他剛好在賣的那個東西。我理解這種懷疑。
但我想請你思考這一點:2025 年三起最大的 AI 資安事件,都有著同一個根本原因。不是某個特定的 bug。不是某家特定廠商的疏失。而是一種設計哲學——一種信念:認為只要在機率性模型外面包上薄薄一層介面,再祈禱提示詞守得住,就能打造出企業級的 AI。
提示詞沒有守住。它們本來就不可能守得住。語言指令是建議,不是約束。而在高風險環境裡——金融、醫療照護、製造、國防——建議與約束之間的差別,就是一套能正常運作的系統與一場災難性失效之間的差別。
企業 AI 的未來,不是一個更好的包裝層。而是一種架構:它把聲音與大腦分開,在執行環境層級強制執行約束,讓資料保持主權,並且把每一個 AI 動作都當成可稽核的基礎設施——而不是一則消失在記錄檔裡的聊天訊息。
我打造 Veriprajna,並不是因為我認為包裝層經濟會崩潰。我打造它,是因為我知道它必然會崩潰。


