戴夫寇爾被捲入微軟駭客風波！他們賣的是怎樣的「攻擊型」資安服務？|數位時代 BusinessNext

先發現微軟bug，卻被捲入駭客風波！戴夫寇爾賣的是怎樣的「攻擊型」資安服務？

去年底微軟旗下商務email伺服器爆發資安漏洞，讓一間來自台灣的新創在國際間聲名大噪。這間資安顧問新創叫戴夫寇爾，他們為何不提供防護、只專注攻擊服務？

3月初，微軟揭露商業用電子郵件伺服器系統Exchange遭到駭客入侵，讓來自台灣的資安新創公司浮上國際舞台，戴夫寇爾（DEVCORE）在2021年1月就發現了漏洞（bug）並向微軟回報，微軟也公開向其致謝。

但後續卻傳出案外案，在微軟即將推出修正檔的前2天，有駭客利用戴夫寇爾通報的漏洞發動大量攻擊，其他資安業者也通報戴夫寇爾，懷疑駭客可能竊取其資料，微軟也為此展開調查。

戴夫寇爾則立即澄清，得知駭客可能使用其通報的漏洞攻擊後，已全面清查員工的電腦設備、公司內部系統以及基礎架構，確認系統或設備並沒有遭入侵，或是資料外洩的跡象。

微軟郵件系統遭攻擊事件尚未落幕，但可以發現戴夫寇爾相當懂得找尋漏洞，用「 愈會攻擊，就愈懂得防禦 」來形容他們的商業模式再貼切不過。戴夫寇爾提供企業滲透測試與紅隊演練等資安服務。

簡單來說，他們從駭客的角度出發，挑戰攻擊企業的網站、資訊系統、設備等軟硬體，找出潛在的漏洞，用以驗證、評估企業的資訊系統與軟硬體安全性。

戴夫寇爾去年 10 月起進行微軟Exchange Server 漏洞研究，並於 12 月取得初步成果並通報給微軟。事後微軟安全回應中心網站也致謝發現漏洞的戴夫寇爾首席資安研究員暨研究組組長蔡政達（Orange Tsai）。

圖／微軟

從小就愛玩遊戲，「學網攻防戰」成技術養份

比起多數競業販售資安的防護「盾牌」，他們的產品是賣攻擊的「矛」，用來檢測企業的盾牌是否有足夠的防禦能力，提供顧問服務，但不包含解決方案落地。

雖然不以駭客自稱，但戴夫寇爾的共同創辦人暨執行長翁浩正，並不否認自己對於電腦與駭客技術的熱誠，「在這個圈子裡，不會有人自稱駭客啦。」一定要說的話，他更傾向把戴夫寇爾視為白帽駭客（在合法、獲得允許的情況下入侵系統，找尋資訊安全缺口）。

翁浩正對於電腦技術熱愛的啟蒙，可以一路追溯到小學時期，「一開始碰電腦一定是玩遊戲啊，但一下就全破了，我就想辦法去調參數，看能不能弄得難一點。」別人玩遊戲追求破關，他卻嫌太簡單，自此之後便著迷於0與1的世界。

到了高中，接下替學校管理網路中心的任務，負責維運各種伺服器，意想不到的是，學校網路是許多人的攻擊目標。

由於10多年前學網相對頻寬大、網速較快，常有人駭進去下載音樂等，翁浩正開始翻書、讀原始碼、找指令，釐清攻擊者的手法與防禦辦法，在高中展開了一場場資訊攻防戰。

攻擊型資安服務，技術口碑說服企業買單

大學時期，翁浩正號召了一群志同道合的夥伴成立以「研究資訊安全」為主軸的社團NISRA（Network and Information Security Research Association）並在全台征戰資安競賽，更奪得行政院資安技能金盾獎冠軍。

畢業後他到資安公司上班一段時間，還是忍不住想要「幹大事」，就像小時候嫌遊戲太簡單，翁浩正拉著幾個夥伴以個人資金成立了戴夫寇爾。當時正職員工只有兩人：翁浩正與共同創辦人暨資深專案經理徐念恩，其他夥伴則以兼職方式支援，光是第一關找客戶，就遇到難關。

戴夫寇爾用攻擊找出企業資安漏洞的做法，常令企業方有許多擔憂，像是「會不會因此造成服務停擺」、「會不會偷走機密資料」等，在初期業務拓展上難度不低。

但靠著兩人長期耕耘技術圈人脈、累積客戶與品牌名聲，隨著近來企業資安意識抬頭，戴夫寇爾逐漸打開知名度，現有客戶包含電商網站、金融業、政府機關以及半導體企業等，採用專案制或者訂閱制簽約，「有網路的地方就有資安問題存在。」 翁浩正說。

另外一個比較大的挑戰——規模化，對於戴夫寇爾來說更像是一種取捨，目前公司擁有20多名員工，預計將招募各方好手、拓展規模至60名夥伴。

徐念恩坦誠，戴夫寇爾的服務的確倚靠大量技術夥伴的能力，每一間企業需要的檢測也不相同，規模化的確不容易，「有點像是律師服務，要靠人來解決事情，我們的目標是維持高質量的服務，不會為了擴張降低品質。」

2012年成立至今，戴夫寇爾未向外部投資人或VC拿錢，曾有人表達投資意願，但就怕拿了錢會失去初衷，「成立公司不全然為了盈利，也希望為社會多做一點事情；有了投資人後，要考量的事太多了。」翁浩正有點浪漫的思想，也難怪NISRA的社團宗旨中，「愛」就是唯一信條。

戴夫寇爾不賣防護用的「盾牌」，他們的產品是「駭客之矛」，從駭客的角度出發，挑戰企業的網站、資訊系統、設備等軟硬體，找出潛在的漏洞，用以驗證、評估企業的資訊系統與軟硬體安全性。

圖／戴夫寇爾

創業至今的三個問題

Ｑ：對於微軟事情的回應？

除了徹底清查公司內部系統與設備，戴夫寇爾研究團隊保持高度自律，若發現企業漏洞，成員絕對遵循責任揭露（Responsible Disclosure）原則，從未在原廠分享技術細節與公告漏洞修補前洩露任何資訊。而且，漏洞研究在我們內部是獨立編制，相關研究資料與訊息皆設置在企業內部網路，並設有稽核紀錄，僅有研究人員能夠存取。

Ｑ：與資安品牌是競爭關係嗎？

一攻一防，很多人以為兩方是競爭對手，但其實我們的合作大於競爭。在進行各種檢測的時候，反而能凸顯資訊安全品牌的重要性，證明他們有效；而如果我們找到漏洞，也會向他們反應，讓漏洞能夠被修補起來，其實是一種雙贏。

Ｑ：能不能「先攻擊」再提供企業服務？

這樣就是妨礙電腦使用罪了吧！的確有人會「先打掛你的網站」，再去求職或要錢。雖然現在很多大企業的心態很開放，會讓所有人去找bug（漏洞）、開出對應獎金；但在企業沒有同意的情況下就貿然攻擊，並大肆宣揚或兜售服務，這就是一種勒索，我們不會這樣做。

責任編輯：郭昱彣、張庭銉、林美欣

代理式 AI 愈來愈多，必須納入組織管理

但究竟什麼是「代理式 AI」？

「過去人們使用生成式 AI 時，需要一步步下達明確指令，但現在使用者只要賦予代理式 AI（Agentic AI）明確目標，它就能自己理解前因後果、進行推演，甚至能去呼叫 API 完成任務。」Going Cloud 總經理黃柏淞點出差異。
而當企業內部的代理式 AI 日益增加，比方說，人資部門有專屬 AI、業務部門有報價 AI、法務部門有合約審閱 AI，跨部門協作的複雜度也隨之飆升，「如果你是管理者，你就會意識到，必須把 AI 當成一個人，納入組織裡來管理。」黃柏淞強調，能統籌、指揮多個 AI 代理協作的「多代理系統」（Multi-Agent System, MAS），正是為了解決這個痛點而生。

簡單來說，MAS 就像虛擬的企業總部，負責協調、治理負責不同任務的 AI 代理、工具和功能模組。在讓 AI 自主決策的同時，各個 AI 代理間也能共享資訊、協調分工。MAS 還具備極佳的擴展性和分散性，企業可以依照業務需求，隨時新增、更改 AI 代理，能大幅提升營運韌性。

雖然企業普遍意識到，代理式 AI 已經蔚為風潮，但實際部署時，仍面臨諸多挑戰。《多代理系統崛起　打造敏捷韌性企業》報告便顯示，資安疑慮、預算限制、缺乏 IT 支援分別是企業最擔憂的三大問題，「企業最擔心串聯多個 AI 代理時，要是權限沒控管好，很容易有機敏資料外洩的風險。」黃柏淞提到，在此情形下，Going Cloud 推出了以「分層式多代理架構」為核心的解決方案。系統會由一個「主管代理」（Supervisor Agent）作為主要決策層，底層則串聯了各個負責單一任務的「任務代理」（Task Agents）。

以 Going Cloud 服務的大型金融企業為例，假設一位 VIP 客戶登入銀行 APP，詢問 AI 客服：「我想申請房貸，請問現在利率多少？另外，請幫我評估把我目前的科技股基金贖回當作頭期款適不適合？」如果是傳統的聊天機器人，可能會因為問題太複雜直接轉接人工客服。但在 Going Cloud 的分層式 MAS 架構裡，「主管代理」接收到任務後，會先拆解再指派負責「房貸利率」的「任務代理」，去後台抓取客戶的信用評分和最新房貸專案。同時，這位虛擬主管還會指派「理財分析」的「任務代理」，去檢視客戶最近科技股基金的績效並預測市場。最後，再由「主管代理」統整資訊，一併給出一份完整且客製的財務建議，「分層式 MAS 能確保整個過程的指令被清楚傳遞，而且因為權限分層管理，房貸 Agent 不會碰到不該碰的理財資料，符合金融業的風險控管與合規要求。」黃柏淞說。

目前 Going Cloud 已經協助知名金融機構導入 MAS 架構。以實際成效來看，多代理客服平台能降低 50％以上的人工客服工作負擔，並讓回覆使用者問題的平均時間減少 60％以上；FAQ 知識導向與 API 資料調用的正確率，在調用得當的情況下，也都達到9成以上的成功率。黃柏淞指出，金融、製造、顧問等有複雜跨部門協作需求的大型企業，都是亟需採用代理式 AI 的產業。

懂雲也懂企業痛點，助員工無痛升級「AI 小組長」

但為什麼 Going Cloud 能為企業打造出如此高效的代理式 AI 底層架構？一方面，Going Cloud 先前服務過亞洲最大 AI 多媒體科技集團科科科技（KKCompany Technologies），奠定具備理解和服務大型企業的經驗，且自 2022 年創立起，就鎖定服務架構最複雜的大型企業市場。同時，Going Cloud 是全台首家榮獲 AWS 生成式 AI 服務能力認證及 ISO27001、ISO27701 雙重國際驗證的雲端產業專家，此成就彰顯 Going Cloud 在堅實的資訊安全基礎上，深化了對個人資料保護的承諾，為客戶提供符合國際標準的資料保障，強化雲端服務領導地位。另外，Going Cloud 還能為企業量身打造底層 AI 平台，提供 AI 策略方針定調、雲端架構設計、Agent 任務規劃、效能優化等一站式服務。

對於準備跨入「AI 商用階段」的企業，黃柏淞建議，釐清應用場景，比追求最新技術更重要，「唯有清晰定義痛點，才能讓強大的 MAS 平台真正落地。」
他特別提到，導入 MAS 系統不只是 IT 部門的責任，其實更像企業的升級轉型，「未來的知識工作者，不能只是單純『接球就打』，每個人都將成為『小組長』或『專案經理』。」例如員工不必再親自打開 excel 敲公式、解讀報表，應該要學著指派手下的「數位同事」去執行。員工的核心價值，將從過去繁瑣、重複性任務的執行，轉移到前期的目標定義、流程規劃，以及後期的決策判斷和審核把關。

AI 技術飛速推進，企業間的競爭已從「要不要用 AI？」，升級成「如何管理與協作多個 AI？」。透過建構靈活、安全且具高擴展性的多代理系統，企業不僅能解放員工的生產力，更能在瞬息萬變的市場中，打造敏捷、韌性兼具的營運大腦。