Tech

ZTAIMM — 當零信任遇上 AI

Kevin

零信任的核心假設很簡單:

不要因為在網路內部,就預設信任。

「永不信任,持續驗證」(Never Trust, Always Verify)——這是 ZTMM(Zero Trust Maturity Model)的基礎精神,CISA 把它拆成五個支柱:Identity、Devices、Networks、Applications & Workloads、Data,以及四個成熟度階段從 Traditional 到 Optimal。

這套框架在傳統 IT 架構裡運作得相當好。

但 AI 打破了它的假設。

傳統零信任看不到的地方

在傳統軟體裡,你可以驗程式碼、稽核 binary、追 git commit。
在 AI 裡,你無法用程式碼稽核來驗證模型的行為——它的「邏輯」被壓縮在幾千萬個參數之中。

幾個 ZTMM 沒有直接覆蓋的 AI 信任邊界:

模型完整性(Model Integrity)
從哪裡下載的模型?weights 被動過手腳了嗎?你用的開源模型,其實也是一種供應鏈。

訓練資料污染(Training Data Poisoning)
攻擊者如果能影響訓練資料,就能影響模型輸出。
這不需要攻入你的基礎設施——只需要污染上游。

Prompt Injection
模型無法區分「系統指令」和「使用者輸入」——它們在 token 層面是一樣的東西。
間接 Prompt Injection 讓攻擊者可以把惡意指令藏在第三方內容裡,透過 AI 自動執行。

推論攻擊(Inference Attacks)
不需要存取訓練資料,只需要反覆 query 模型,就能萃取出行為模式,甚至推斷出敏感的訓練資訊。

AI 供應鏈(AI Supply Chain)
資料攝取 → 模型訓練 → 封裝 → 推論部署,每一個環節都是攻擊面。
已經有案例是在廣泛使用的 AI library 裡植入惡意程式碼。

ZTAIMM 的輪廓

Microsoft 在 2026 年 3 月把 AI 加成第六支柱(ZT4AI),往前走了一步。
但目前還沒有一個完整的 Maturity Model 版本——沒有分階段的成熟度評估框架。

ZTAIMM(Zero Trust AI Maturity Model)試著填補這個缺口。

在 ZTMM 的五個支柱之外,加入兩個 AI 專屬支柱:

支柱六:AI Models & Pipelines

  • 模型來源驗證與 signing
  • 訓練資料供應鏈稽核
  • Model Registry 與版本控制
  • 推論端點的最小權限存取

支柱七:AI Agents & Orchestration

  • Agent 身份識別與最小授權
  • Prompt 邊界的 input/output guardrails
  • 人類監督介入點(Human-in-the-loop)的定義
  • 多 Agent 協作中的信任傳遞規則

四個成熟度階段(套用到 AI)

階段 AI 特徵
Traditional AI 被當成一般軟體對待,無 AI 專屬控管
Initial 基本 AI 盤點、部分 guardrail,人工稽核
Advanced 自動化風險評估、模型 signing、持續監控
Optimal 動態信任、完整 AI 治理、人類監督機制內建

為什麼現在要想這件事

AI Agent 的部署速度正在超越安全框架的更新速度。

Gartner 預測 2026 年底 40% 的企業應用將內建任務型 AI Agent。
這些 Agent 會自主讀信、執行任務、呼叫 API、存取資料——
而多數組織的安全架構,還沒準備好驗證它們。

零信任的精神是:不要預設任何東西是安全的,持續驗證每一個請求。

對 AI 來說,這個「請求」不只是網路封包,
還包括:模型的訓練來源、推論時的 prompt、Agent 的行為邊界,以及它執行結果的可信度。

ZTAIMM 不是一套新發明的框架,
而是對「永不信任,持續驗證」在 AI 時代重新提問:

我們信任的,到底是什麼?

參考資料:

以上內容由 AI 整理,框架概念由 Kevin 提出
AI 吞了網路世界上人類一字一句寫出來的文章,但接下來呢?