第二屆產品資安漏洞獵捕Q4起跑 總獎金上看800萬
由國家資通安全研究院辦理首屆「產品資安漏洞獵捕活動」已圓滿結束,院長林盈達在今日(4/27)記者會中,揭露過去幾個月資安漏洞獵捕活動的成果。今年第四季將祭出總獎金800萬元與 AI 攻擊工具,展開第二屆針對純軟體的資安漏洞獵捕。
首屆「產品資安漏洞獵捕活動」活動共集結11家國內指標性資通訊大廠、179位本土資安研究員,針對網通設備、網路儲存設備及工業網通等業者。在179位研究員中,有25位成功提交漏洞報告,他們從實際攻擊者視角進行測試,使廠商得以在產品上市前即掌握潛在問題,將原本可能於上市後才暴露的風險提前處理。
林盈達指出,第一屆共有20組產品進行測試,最終確認20項有效漏洞,其中包含3項嚴重等級與6項高風險漏洞。「沒有被找到Bug的廠商要高興,代表在猛烈炮火下牢不可破;被找到Bug的更要慶幸,」他分析,若這些漏洞是在客戶端被駭客發現,中標的將不是單一對象,而是數以萬計的國外客戶,屆時災害將無法估量。目前參與廠商如威強電均透過此計畫在產品出廠前完成自我體檢。
面對即將到來的第二屆資安漏洞獵捕活動,林盈達透露將有三大不同。首先是官方經費挹注,他感謝數發部資安署的經費支持,計畫將更具規模。首屆總獎金720萬元,最終發出53.9萬元。第二屆總獎金則上看800萬元。
其次,漏洞從嵌入式硬體轉向公務機關常用的純軟體系統。林盈達認為,純軟體的複雜度遠高於硬體,攻擊面更大,「漏洞可能更多,更需要透過實證來確認。」
第三,第一屆多為純手工抓捕,第二屆將全面開放並鼓勵白帽駭客使用 AI 自動化工具。林盈達強調:「用 AI 找漏洞不是作弊,而是被鼓勵的,因為這樣火力才會更旺、效率更高。」
至於首屆獎金發放少於預期,他則表示,並非因為駭客不夠強,而是因為台灣硬體廠商如研華、威強電,長期參與國際競爭,嵌入式軟體的防禦能力已具國際水準。但台灣軟體業較缺乏國際實戰經驗,且軟體攻擊面更廣,林盈達擔心第二屆總獎金可能會「發到爆掉」。他呼籲國內軟體廠商做好準備,在 AI 工具的加持下,下一波的資安漏洞獵捕將更具衝擊力。
林盈達進一步指出,資安院計畫在年底辦理研討會,將 AI 紅隊演練的技術移轉給廠商,協助企業建立內部的 AI 自我檢測流程。
他強調,資安院的任務是透過實證來強化國家資安實力。首屆計畫證實了台灣駭客的實力與硬體設備的穩定;第二屆則將挑戰更脆弱的軟體供應鏈。針對政府機關常用軟體項目,優先選擇使用率較高或涉及高風險情境之軟體進行驗證,並透過公私協力模式強化MIT產品競爭力,讓台灣製造從「Made in Taiwan」邁向「Make It Trusted」。