【封殺 AI 流量將錯失商機】AI 流量成長速度是人類八倍,企業如何兼顧營收並防禦詐欺?
當企業還在思考如何導入 AI 提升效率時,網際網路的底層生態已悄悄變天:2025 年,網路上跑的 AI 流量,成長速度是真人流量的八倍。
由網路安全公司 HUMAN Security 近期發布的《AI 流量與網路威脅基準報告(The 2026 State of AI Traffic & Cyberthreat Benchmark Report)》,不僅揭露 AI 代理(Agentic AI)如何開始在網路上自主登入與結帳,更指出駭客正利用這波自動化紅利,將帳號接管、信用卡盜刷與惡意爬蟲等攻擊手法全面升級。
報告內容打破傳統防禦思維,點出企業未來的存亡關鍵已不再是單純「阻擋機器人」,而是如何在極端複雜的流量中辨識真實意圖。
面對這波不可逆的浪潮,企業若未及時調整防禦戰略,將面臨前所未有的潛在詐欺災難。以下摘要整理報告的核心數據與行動建議,提供企業快速掌握 AI 時代的流量現實與資安防禦新思維。
📎 這份報告適合誰閱讀?
這份報告探討 AI 自動化流量的爆發,以及帳號接管(ATO)、信用卡盜刷、惡意爬蟲等網路威脅的最新演變,特別適合以下幾類工作者閱讀:
- 資安主管與網路安全專業人員
- 數位媒體與內容發布商
- 行銷、廣告與防欺詐團隊
- 企業高階決策者與風險管理人員
- 電商與零售業營運者、金融服務與支付系統營運者、旅遊與餐旅業管理者
🔴 報告洞見
網際網路的運作方式已經發生根本性的轉變,從過去以人類互動為中心,正式跨入由 AI 代理重塑的自動化網路時代。
根據 HUMAN Security 最新發布的報告指出,在 2025 年,整體自動化流量的年增長率達到 23.51%,其成長速度大約是人類流量(僅增長 3.10%)的八倍。
這不僅僅是流量數字的暴增,更是網路行為本質的徹底改變。AI 系統不再只是單向讀取網頁資訊,而是開始在網路上自主執行交易與各種複雜互動。企業必須及時調整資安防禦與流量管理戰略,避免營運風險與詐欺災難。
💡 流量巨變!AI 驅動流量的三大演進與寡占效應
數據顯示,從 2025 年 1 月到 12 月,AI 驅動流量的月度總量激增了 187%,幾乎是年初的三倍。然而,AI 流量並非單一型態,而是快速演化出三種截然不同的行為模式:
首先是佔比最大的「AI 訓練爬蟲(Training Crawlers)」,佔整體 AI 機器人流量的 67.5%。這類爬蟲主要為了訓練大型語言模型而大規模抓取資料,其流量在 2025 年成長了 136%,且高峰期往往精準落在各大科技巨頭發布新模型的前夕。
其次是「AI 即時爬蟲(AI Scrapers)」,佔比達 31.9%。與訓練爬蟲不同,即時爬蟲追求的是「資料新鮮度」,用以支援 AI 搜尋或檢索增強生成(RAG)功能,這使得其流量在一年內狂飆了 597%,並強烈鎖定新聞媒體與零售網站。
最後,也是最具破壞性創新的「代理型 AI(Agentic AI)」,其流量在一年內寫下了高達 7,851% 的驚人成長。這類 AI 具備自主決策能力,數據顯示,高達 77% 的代理型 AI 活動集中在產品與搜尋頁面,更有 8.8% 發生在帳戶頁面、2.3% 直接進入了結帳流程,意味 AI 已經開始自主完成具有商業與合約效力的操作。
值得警惕的是,這波 AI 流量呈現出極端的「雙重集中化」效應。
在產業端,超過 95% 的 AI 驅動流量集中於零售與電商、串流與媒體,以及旅遊與餐旅這三大擁有高價值結構化數據的產業。
在來源端,單單 OpenAI 一家公司就產生了約 69% 的 AI 機器人流量,緊接著是 Meta(16%)與 Anthropic(11%)。這表示企業對於少數幾家科技巨頭的存取政策,將直接決定其整體的 AI 流量風險曝露程度。
💡 攻擊戰術大轉移:四大網路威脅的最新演變
伴隨著 AI 自動化紅利而來的,是駭客攻擊手法的規模化與隱蔽化。過去傳統的防禦機制,已迫使攻擊者將戰線轉移,演化出四大網路威脅趨勢:
1. 帳號接管(ATO)戰術轉向「登入後妥協」
雖然盜用帳號的總量變少,但駭客不再於登入畫面狂猜密碼硬闖,而是改用更隱蔽的「進門後才搞鬼」戰術。他們偷偷複製系統發出的「臨時通行證」,或竄改帳號的備援聯絡資訊,確保自身可持續存取帳號。這類防不勝防的攻擊在 2025 年暴增超過四倍,平均每家公司都面臨高達 40.2 萬次這種潛入危機。
2. 惡意網頁爬蟲(Web Scraping)比例逼近兩成
全球針對網頁抓取的惡意攻擊比例正逼近 20%,幾乎是 2022 年的兩倍。對於遭受重點攻擊的企業而言,惡意爬蟲甚至佔據了超過 61% 的網站流量。這些攻擊快速竊取定價與產品目錄,直接導致企業的基礎設施成本暴增與競爭力流失。
3. 信用卡盜刷總量飆升,並導入 AI 代理
自 2022 年以來,全球結帳被阻擋的信用卡盜刷總量飆升了 250%。更令人擔憂的是,研究人員已觀察到,駭客開始利用 AI 代理來執行盜刷測試,讓 AI 在極短時間內輪番測試不同信用卡並嘗試結帳,大幅降低了發動攻擊的技術門檻。
4. 假帳號建立推升大規模詐欺
假帳號建立的攻擊量在 2023 到 2024 年成長了 259% 後,2025 年又進一步增加了 89%。駭客利用自動化工具生成逼真的假帳號,不僅快速消耗企業的新用戶行銷預算,更被大量用於串流平台中,製造虛假的播放量與互動率。
此外,暗網的帳戶定價成為了企業防禦成效的「落後指標」。報告指出,金融服務帳戶在暗網的價格最高飆升至 4,500 美元,顯示防禦機制有效提高了駭客的取得成本;相反地,部分旅遊業帳戶價格跌至 40.5 美元,意味著攻擊者已找到了更廉價且容易的入侵途徑。
💡 防禦的殘酷現實:「是人還是機器人」的二分法已死
面對如此複雜的流量組成,企業資安面臨的最殘酷現實是,過去依賴辨識「是人類還是機器人」的防禦思維已經徹底失效。
在代理型商務時代,一個正在快速瀏覽產品並完成結帳的 AI 代理,可能是協助消費者購物的合法助理,也可能是一場自動化的盜刷詐欺。兩者的網路行為軌跡幾乎一模一樣,唯一的差別在於背後的「意圖」。
但在全球數以兆計的網路互動中,能夠區分「良性自動化」與「惡意自動化」的差距,僅剩下微乎其微的 0.5%。
此外,傳統依賴「使用者代理(User-Agent)」字串的白名單機制也形同虛設。威脅情報顯示,大量惡意攻擊者會偽裝成 ChatGPT、Mistral 或 Perplexity 等知名 AI 爬蟲的身分來騙取信任,藉此繞過網站的速率限制與防禦規則。盲目放行這些自稱合法的爬蟲,等同於向未知數量的惡意駭客敞開大門。
面對這些無法靠舊方法解決的新型挑戰,以下是報告為企業提出的具體應對方向。
🧭 企業在 AI 代理時代安全獲利的五個具體做法
面對自動化流量不可逆的浪潮,企業若將所有自動化視為敵對並全面阻擋,將錯失龐大的新商機;但若放任不管,則必須承擔災難性的詐欺損失。
要在 2026 年安全獲利,企業必須立刻執行以下五大戰略行動:
1. 捨棄二分法,建立「動態意圖辨識」基礎架構
企業必須導入新一代的信任機制,不再單純阻擋機器人,而是要能在瞬間理解每一次互動背後的「真實意圖」,並從首次造訪到最終交易,動態地分配信任等級。
2. 淘汰表面身分審查,導入「深度行為驗證」
面對氾濫的 AI 爬蟲偽裝,資安團隊必須超越單純的 User-Agent 宣告,利用深度的基礎設施訊號與行為驗證技術,精準識別偽裝成合法 AI 爬蟲的惡意攻擊者。
3. 將防禦戰線大幅延伸至「登入後」
因應激增四倍的登入後帳戶妥協攻擊,企業不能只在登入頁面佈署重兵。必須將防禦與監控範圍擴展至合法登入之後的整個使用者旅程,並針對敏感操作強制實施進階的認證管控。
4. 實施強化的支付控制與 AI 代理專屬政策
針對居高不下的信用卡盜刷測試,企業最直接的降低風險方式是實施強化的支付控制。同時,由於 AI 代理的行為已具備財務與合約效力,企業必須制定專屬的存取政策,明確定義並控管哪些 AI 代理獲准在網站上執行交易。
5. 將「暗網情報」納入資安績效指標
企業應持續監控暗網中與自身業務相關的帳戶與資料定價波動。當被駭帳戶的價格上漲,即代表防禦策略成功拉高了攻擊者的成本;反之,則必須立即檢視系統是否存在新的漏洞。
2026 年的網際網路,已經是一個由人類與 AI 代理共同運作的生態系統。流量管理不再只是單純的資安 IT 問題,更是牽動營收與企業生存的核心商業戰略。
建立能夠在毫秒之間辨識意圖、驗證信任的全新防禦架構,企業才能在擁抱 AI 代理商機的同時,將威脅與詐欺完美阻絕於門外。
*閱讀完整報告內容,請見:The 2026 State of AI Traffic & Cyberthreat Benchmark Report
【更多產業研究報告】
◆ 麥肯錫:72% 企業將主權 AI 納入 2026 年發展,推動主權 AI 須執行的 3 階段藍圖是什麼?
◆ 【Google 雲端威脅展望報告】攻擊空窗期縮至數天,企業如何轉向「自動化調度」確保營運韌性?
◆【AI 取代 Google搜尋】網站流量崩盤前,品牌必須加快執行的 4 個戰略行動➡️ 其他產業研究報告
*初稿由 AI 協作,首圖來源:Unsplash