踏入 2026 年，身為 IT 負責人，如果我們還在討論如何防範「釣魚郵件」，那可能已經落後於形勢。2025 年全港詐騙案件持續高企，僅前十個月的損失金額已達 64 億港元 ，這背後反映的是攻擊者已將「流程污染（Process Pollution）」推向了全新的自動化階段。

1. 攻擊技術的範式轉移：由「手動」轉向「Agentic AI 自動化」

以前我們防範網騙，看的是對方的劇本是否露餡。但在 2026 年，攻擊者已利用 Agentic AI 進行大規模、精準化的「流程嵌入」。這種 AI 具備自主決策能力，能根據受害者的反應即時調整策略 。

根據 HKCERT 最新分析，攻擊者正廣泛使用名為「ClickFix」的誘騙戰術，同時結合 AI 自動生成的偽造付款頁面（UI Cloning）。這些頁面能即時模仿各大銀行介面，並引導用戶進入 WhatsApp 與「AI 客服」對話以竊取憑證 。對 IT 技術人員而言，這不再是單純的點對點詐騙，而是在人類決策鏈（Human Decision Chain）中植入了一個由 AI 驅動的惡意節點。

2. 供應鏈與二次收割：數據外洩後的長尾風險

另一個值得 CIO 警惕的 2026 年核心風險是「供應鏈安全缺口」與「二次詐騙（Recovery Scam）」 。當企業或其第三方服務商發生資料外洩後，攻擊者會利用精準的交易數據，冒充監管機構或技術專家進行收割。

HKCERT 警告，2025 年系統漏洞事故按年飆升 3.5 倍，反映企業對雲端基礎設施的過度依賴正產生新的單點故障 。這對 IT 運營的啟示是：Incident Response 的邊界必須延伸。一旦數據流出，後續的 AI 社工攻擊會精準到足以繞過你的 Level 1 Support。如果 IT 沒能建立跨部門的聯防機制，外洩的長尾效應將會持續多年。

3. 給 IT 團隊與管理層的實務清單

面對 2026 年的複雜環境，IT 負責人應採取更具「防禦深度」的策略：

- AI 驅動的防禦演練：利用 AI 模擬攻擊者的「自動化流程污染」，測試公司在收款帳戶變更、緊急轉帳等環節的審批韌性 。

- 紅色路徑清單（High-Risk Operation Inventory）：定義出公司最易導致重大損失的動作，針對性地加上系統級鎖定（System-level locks）。例如，任何涉及跨境交易或高額撥款的指令，應強制要求 Out-of-band（離網）驗證 。

- 指令與渠道的物理分離：任何涉及資金或權限提升的指令，絕不在原渠道（如通訊軟體或電郵）直接確認 。

- 加強 AI 治理與數據脫敏：HKCERT 指出約 35% 的企業會將敏感數據餵給公用 AI 。企業應建立清晰的 AI 使用框架，防止員工在不經意間將敏感流程細節外洩。

結語：網絡安全是一場關於「決策邊界」的治理

2026 年的網騙不再是隨機的，而是具備「目標導向（Goal-oriented）」的自動化運作 。身為技術負責人，我們的職責是守住那條「決策防線」。將信任轉化為可核實的步驟，將例外情況納入系統控制，這才是 2026 年應對 AI 化網騙的技術硬道理。

作者簡介｜翁希廉（Willis Yung）

翁希廉（Willis Yung）數字銀行資訊安全主管及科技風險負責人，負責 AI、雲端、網絡安全與 FinTech 風險治理。

同時創立「數苗青少年慈善基金」（Seed Master Youth Development Foundation），推動青少年數碼素養、AI 倫理與網絡安全教育，近年專注研究 AI 與青少年心理健康的交互影響。長期關注香港教育科技政策、數碼安全生態與 AI 教育的落地挑戰。