AI 機器人正全面改寫防禦規則

《 2026 惡意機器人報告 》揭示：Agentic AI 已瓦解傳統資安防線

數十年來，企業一直秉持著一個簡單的假設：大部分網路流量都來自用戶。但這種假設已不再成立。自動化流量持續超越人類線上活動，這並非由特定攻擊週期或技術趨勢引發的短期激增，而是網路運作方式的結構性變化。現在，企業不單只服務客戶，也開始服務機器。

最新的《 2026 惡意機器人報告 》進一步印證了這個不容忽視的事實。AI 自動化技術不再是新興議題，而是已經全面滲透到網路流量之中。報告深入探討了 AI 自動化如何顛覆現今應用程式與 API 的存取模式。數據顯示，機器人流量已佔據全球網路流量的過半數。

隨著 Agentic AI 催生出新型態的自動化流量，企業正面臨前所未有的挑戰：在日益複雜的網路環境中，越來越難偵測、辨識並管控這些流量背後的真實意圖。AI Agents 能夠代表使用者透過與人類相同的介面檢索資料、執行工作流程及完成交易，進一步模糊了合法流量與惡意流量間的界線。這使得傳統的機器人偵測機制逐漸失效，也讓應用程式介面（API）與身分系統更容易暴露於自動化操作之下，企業因此難以準確區分 AI Agents 與真實使用者，進而增加安全防護與風險管理的複雜度。信任度、績效和盈收將取決於企業如何有效管理自動化互動。

Thales / Imperva《惡意機器人報告》是年度產業研究報告，分析全球自動化機器人流量、攻擊趨勢以及惡意機器人對網站、API 和應用程式的影響。 2026 年版重點關注人 AI Agents 和 代理自動化技術（Agentic Automation）的興起。

報告情資來自 2025 整年度的機器人活動分析，並結合 Thales 威脅研究小組與資安分析服務（Security Analyst Services, SAS）團隊的第一線實戰經驗，以及在全球協助各產業調查並緩解機器人攻擊的專家洞察。

關鍵發現

42%

機器人攻擊為初階攻擊。

41%

機器人攻擊會利用 Chrome 瀏覽器來偽裝成正常合法的流量。

47%

網路流量來自真人用戶的正常存取，且比例持續下降中。

27%

機器人攻擊針對 API。攻擊者能完全繞過使用者介面，並以機器速度運作。

24%

機器人攻擊以金融服務業為首要目標。

46%

帳號接管（Account Takeover, ATO）攻擊以金融服務業為主，目的並非在於破壞，而是為了直接獲利。