事件
2026 年 6 月,香港證券及期貨事務監察委員會(SFC)發出通函,要求持牌機構強化網路安全防護,應對「人工智慧驅動的新興威脅」。通函特別點名網上經紀行和虛擬資產交易平台,要求補強四大範疇:修補與漏洞管理、偵測與監察、事故應變與復原。
表面看是常規監管通函。深層看,這反映一個棘手現實:AI 威脅已經不再是「將來可能」,而是「現在正在發生」——但監管才剛開始反應。
規制滯後的具體樣貌
時間線對比:
- **2022 年底**:ChatGPT 發佈,安全研究者立即發現「越獄提示」可繞過安全指引
- **2023 年初-中**:駭客社群開始用「社會工程」結合 LLM,製造高仿釣魚郵件、偽造身份驗證
- **2024-2025 年**:金融機構開始大規模採用 AI(包括合規系統、客服、數據分析),同時面對成體系的 AI 驅動攻擊
- **2026 年 6 月**:監管機構才發出「請加強防護」的通函
這個時間差有多危險? 3-4 年。在金融領域,3-4 年相當於整個攻防週期——駭客已經找到新的進攻向量、而防守方才知道問題存在。
為什麼會出現這個滯後?
1. 技術變化的速度無法被監管框架跟上
AI 模型的能力邊界(capability frontier)每 6-12 個月劇變一次。監管通函從識別問題、徵詢業界、起草條文、內部審查、發佈,至少需要 12-18 個月——這意味著規則出現時,威脅已經進化了 2-3 代。
2. 監管機構本身缺乏 AI 專業人員
香港 SFC 是傳統金融監管部門,配備的是銀行、證券、會計背景的人才——而不是安全工程師、機器學習研究者、紅隊(adversarial testing)專家。要讓這個組織理解「LLM 驅動的魚叉式釣魚」需要多久?教育 + 制定規則 = 2-3 年。這時威脅已經升級。
3. 業界也是被動者,不是主動防守者
許多持牌機構在 2024-2025 年匆匆引入 AI(為了效率、競爭壓力),但對應的安全架構並未同步升級。它們也在等待監管指引——「告訴我怎麼做,我就照做」。但監管一旦滯後,這個「等待」就變成暴露在風險中。
規制滯後真正的代價
受害者不對稱:
- 大機構(如四大行)有資源自行研發安全防護、請頂級安全公司,可以「提前於監管」做準備
- 中小持牌機構(如小型網上經紀行、虛擬資產交易平台)資源有限,只能等監管出規則再補——但等到時,已經蒙受攻擊損失
- 散戶客戶是最無防備的,他們相信「持牌機構已受監管、應該很安全」——但實際上機構的防護可能還停留在 2024 年的水準
信任成本上升:
每一次「大機構被 AI 驅動的釣魚詐騙突破」,都會動搖散戶對金融系統的信任。損失可能遠超直接的金錢——是客戶資金外逃、人心不穩。
為什麼 SFC 現在才發通函?
最可能的觸發點:
1. 已經發生過幾起較大事件——某家持牌機構被 AI 驅動的攻擊造成客戶資金損失,事後審查時才發現防護缺陷 2. 國際監管機構的壓力——SEC、FCA、新加坡 MAS 都已發過類似指引,香港不能再落後 3. 虛擬資產交易平台的風險凸顯——這些機構往往最缺乏傳統金融的合規基礎,也最容易被針對
規制滯後的結構性根源
這不是香港獨有的現象。全球金融監管都在面對同樣困境: