第二屆產品資安漏洞獵捕Q4起跑　總獎金上看800萬

由國家資通安全研究院辦理首屆「產品資安漏洞獵捕活動」已圓滿結束，院長林盈達在今日（4/27）記者會中，揭露過去幾個月資安漏洞獵捕活動的成果。今年第四季將祭出總獎金800萬元與 AI 攻擊工具，展開第二屆針對純軟體的資安漏洞獵捕。

首屆「產品資安漏洞獵捕活動」活動共集結11家國內指標性資通訊大廠、179位本土資安研究員，針對網通設備、網路儲存設備及工業網通等業者。在179位研究員中，有25位成功提交漏洞報告，他們從實際攻擊者視角進行測試，使廠商得以在產品上市前即掌握潛在問題，將原本可能於上市後才暴露的風險提前處理。

林盈達指出，第一屆共有20組產品進行測試，最終確認20項有效漏洞，其中包含3項嚴重等級與6項高風險漏洞。「沒有被找到Bug的廠商要高興，代表在猛烈炮火下牢不可破；被找到Bug的更要慶幸，」他分析，若這些漏洞是在客戶端被駭客發現，中標的將不是單一對象，而是數以萬計的國外客戶，屆時災害將無法估量。目前參與廠商如威強電均透過此計畫在產品出廠前完成自我體檢。

面對即將到來的第二屆資安漏洞獵捕活動，林盈達透露將有三大不同。首先是官方經費挹注，他感謝數發部資安署的經費支持，計畫將更具規模。首屆總獎金720萬元，最終發出53.9萬元。第二屆總獎金則上看800萬元。

其次，漏洞從嵌入式硬體轉向公務機關常用的純軟體系統。林盈達認為，純軟體的複雜度遠高於硬體，攻擊面更大，「漏洞可能更多，更需要透過實證來確認。」

第三，第一屆多為純手工抓捕，第二屆將全面開放並鼓勵白帽駭客使用 AI 自動化工具。林盈達強調：「用 AI 找漏洞不是作弊，而是被鼓勵的，因為這樣火力才會更旺、效率更高。」

至於首屆獎金發放少於預期，他則表示，並非因為駭客不夠強，而是因為台灣硬體廠商如研華、威強電，長期參與國際競爭，嵌入式軟體的防禦能力已具國際水準。但台灣軟體業較缺乏國際實戰經驗，且軟體攻擊面更廣，林盈達擔心第二屆總獎金可能會「發到爆掉」。他呼籲國內軟體廠商做好準備，在 AI 工具的加持下，下一波的資安漏洞獵捕將更具衝擊力。

林盈達進一步指出，資安院計畫在年底辦理研討會，將 AI 紅隊演練的技術移轉給廠商，協助企業建立內部的 AI 自我檢測流程。

他強調，資安院的任務是透過實證來強化國家資安實力。首屆計畫證實了台灣駭客的實力與硬體設備的穩定；第二屆則將挑戰更脆弱的軟體供應鏈。針對政府機關常用軟體項目，優先選擇使用率較高或涉及高風險情境之軟體進行驗證，並透過公私協力模式強化MIT產品競爭力，讓台灣製造從「Made in Taiwan」邁向「Make It Trusted」。