NIST AI 網路安全框架：強化組織人工智慧應用資安防護能力

隨著人工智慧（AI）技術的快速發展，組織在導入AI應用時面臨的資安挑戰也日益嚴峻。為了協助組織更有效地管理AI相關的資安風險，美國國家標準與技術研究院（NIST）在2025年12月發布了《AI網路安全框架應用藍圖》（Cybersecurity Framework Profile for Artificial Intelligence，Cyber AI Profile），作為其廣泛使用的網路安全框架NIST CSF（Cybersecurity Framework）的延伸配套。

Cyber AI Profile 的核心內容

Cyber AI Profile 的內容圍繞三個彼此關聯的關注領域展開，並依據CSF 2.0核心功能進行細分。這三個關注領域分別是：

確保AI系統安全（Securing AI Systems）
利用AI賦能進行網路防禦（Conducting AI-enabled Cyber Defense）
抵禦AI賦能的網路攻擊（Thwarting AI-enabled Cyberattacks）

確保AI系統安全

在將AI整合至既有IT與營運生態系時，組織需要面對多種資安挑戰。這些挑戰包括資料供應鏈的安全性、模型訓練與部署環境的安全性，以及資料中毒、模型竊取與對抗式輸入等新型態風險。(iThome, 2025)

利用AI賦能進行網路防禦

AI技術可以顯著提升入侵偵測、告警過濾與異常分析等防禦效率。然而，組織也需要留意AI誤判風險與生成式AI的幻覺問題，並維持必要的人類監督。(iThome, 2025)

抵禦AI賦能的網路攻擊

隨著攻擊者利用AI提升攻擊速度與精準度，組織需要採取針對性措施來抵禦這些新型攻擊。這包括針對更精密的魚叉式網路釣魚、深偽技術詐欺與自動化弱點利用攻擊的防護措施。(iThome, 2025)

Cyber AI Profile 的應用與未來展望

Cyber AI Profile 草案是NIST資安與AI專家歷時一年完成的成果，吸引了超過6,500名產官學界人士參與。NIST已於2025年12月16日啟動為期45天的公開意見徵詢，預計於2026年推出首個公開版本。

為了協助組織更好地應用NIST AI RMF，NIST還提供了相關的認證培訓課程，如《Certified NIST AI Risk Management Framework 1.0 Architect》課程，幫助專業人士設計和領導符合NIST AI RMF 1.0標準的AI風險管理計劃。(CertifiedInfoSec.com)

結論與建議

隨著AI技術的廣泛應用，組織需要更加重視AI相關的資安風險管理。NIST AI 網路安全框架提供了一個系統化的方法，幫助組織在導入AI應用時，更有效地管理資安風險。建議組織積極參與NIST提供的培訓課程，並根據Cyber AI Profile的指引，加強AI系統的安全性，提升網路防禦能力，並抵禦AI賦能的網路攻擊。