香港证监会AI通函全解读：五项核心要求与落地挑战

作者：张烽

一、当“应变时间已见缩短”成为新常态

香港证券及期货事务监察委员会（证监会）于2026年6月2日发布通函，要求持牌机构加强网络安全措施，以应对由前沿人工智能（AI）模型驱动的新兴威胁。这份文件并非一份常规的技术建议清单，其措辞透露出监管层对风险性质的根本性判断：AI不仅放大了攻击的规模与频率，更压缩了机构识别、修补漏洞及响应事故的“时间窗”。

通函明确指出，“由漏洞被识别或披露至被威胁者利用之间的时间间隔正迅速缩短”，同时“传统侦测与应对程序的处事速率可能跟不上AI驱动的攻击速度”〔通函第4段、第15段〕。这提出了一个核心命题：在AI使得攻击速度以机器单位而非人力单位计算的背景下，持牌机构沿用多年的“检测-分析-响应-恢复”的经典网络安全模型是否仍然有效？

我们认为，香港证监会此次通函的深层意图，是推动持牌机构从“基于合规的防御姿态”转向“基于假设失陷的主动韧性架构”。这不仅是技术升级，更是对机构治理能力、响应机制及资源分配逻辑的系统性重构。下文将结合通函文本及行业实践，逐层论证这一判断。

二、香港网络攻击态势与AI风险的双重叠加

理解这份通函的紧迫性，需要先将其置于香港金融市场的具体风险图景之中。据证监会新闻稿披露，“去年香港的整体网络攻击事故数目录得双位数增长”〔香港证监会新闻稿〕。这一增长并非孤立现象，而是与AI技术的可及性及攻击效能提升直接相关。

通函将AI驱动的网络威胁提炼为三个关键变化维度：

第一，专业化门槛大幅降低。前沿AI模型能够自主策划多步骤复杂行动，包括识别“零日漏洞”、将多个低风险漏洞串联利用，以及在互联系统间跨系统运作。这意味着过去依赖高水平黑客的复杂攻击，如今可由低成本AI工具辅助甚至自动执行〔通函第4段〕。

第二，攻击面与欺骗手段同步进化。AI驱动的网络钓鱼、社交工程、深度伪造（deepfake）假冒身份及侦察活动，其逼真度与定制化程度显著提升。通函特别指出，这些工具“降低了恶意者进行上述活动的门槛”〔证监会新闻稿〕。

第三，防御的时间不对称性加剧。传统网络安全模型中，从漏洞披露到补丁部署之间通常被视为存在一个“安全窗口”，机构借此时间完成测试与更新。但AI工具能够近乎实时地发现并利用新漏洞，使得这一窗口急剧收窄。通函明确提示，“主要软件供应商发布的安全修补程序及更新在数量和频率上料会明显增加”〔通函第4段〕。

值得注意的是，证监会的监管范围已扩展至“持牌法团、获证监会发牌的虚拟资产服务提供者及其有联系实体”〔证监会新闻稿〕。虚拟资产交易平台由于其业务天然的数字化与跨境特性，被列为重点关注对象。这一范围界定意味着，传统券商与新兴虚拟资产机构面临相同的AI网络威胁基线要求。

三、通函的五项核心要求及其深层逻辑

通函的核心指引集中在五个技术治理领域：修补及漏洞管理、接达及权限监控、侦测及监察、第三方供应链风险管理，以及事故应对及复原〔通函第9-18段〕。表面上看，这些并非全新范畴；但其具体要求的内含逻辑发生了实质性转变。

第一，修补管理从“例行周期”转向“紧急响应”机制。 通函第9段要求机构“就处理超出例行修补周期的紧急及重要修正程序制订适当的政策和程序”，并“分配足够资源，务求有效地应付修补需求可能急增的情况”。这意味着传统的月度或季度补丁窗口不再足够。机构必须建立一套能够识别“业务关键组件”并对其漏洞启动小时级甚至即时响应能力的流程。通函第6段进一步要求机构“备存一份准确且持续更新的”资产清单，并能够“即日决定各项工作的缓急优次”——这是对机构IT资产管理实时性与决策速度的硬性约束。

第二，“零信任”架构从可选成为基线假设。 通函第10条明确写道：“持牌机构设计系统监控措施时，应基于任何使用者、装置、高权限帐户或网络组件均可被入侵的假设。”这一表述实质上采纳了零信任安全模型的核心前提——不再默认内网可信。具体要求包括：执行最小权限原则（第11(i)条）、实施微网络分段以限制横向移动（第11(ii)条）、将外部输入内容“视为可能具对抗性的内容”（第11(iii)条），以及针对高影响操作实施“输入与核对的分工监控措施”（第11(iv)条）。这些措施共同指向一个目标：即使攻击者突破某一节点，也无法利用权限泛滥或网络扁平化扩大战果。

第三，侦测与监察从“日志审计”升级为“威胁情报驱动”。 第12条要求“加强威胁侦测及对客户交易活动和系统活动中的异常情况的监察”，并“提升收集威胁情报的能力”。传统的基于签名或规则的检测系统，在AI生成的变种攻击面前可能迅速过时。通函隐含要求机构部署基于行为分析、异常检测乃至AI对抗AI的主动侦测能力。

第四，供应链风险从“尽职调查”延伸到“持续对抗”。 第13条专门针对第三方服务提供者提出要求，指出要“纳入最新的威胁形势”，并“确保妥善管理与第三方服务提供者相关的网络安全风险，尤其是AI驱动的网络攻击所产生的风险”。这一条对于大量使用云服务、SaaS工具或外包IT运维的中小券商尤为关键——攻击者可能通过攻破安全性较弱的第三方供应商，间接进入持牌机构的核心系统。

第五，事故响应从“线性处理”预设为“并行阻断”。 这是最体现AI时代特征的要求。第15条坦承，“传统侦测与应对程序的处事速率可能跟不上AI驱动的攻击速度”，因此机构不能依赖“事后调查或正常渠道上报”，而应“预先计划的控制损毁及阻断漏洞利用策略，包括迅速封锁恶意活动、隔离受影响系统及限制接达的能力”。这要求机构预设一套“紧急制动”机制，能够在短时间内自动或半自动地切断攻击路径，而不是等待完整分析完成后再采取行动。

综合来看，这五项要求的共同指向是：机构必须假设自己终将被突破。核心问题在于：既然无法完全阻止所有攻击，关键就在于被突破后能否在攻击者完成主要目标前完成隔离与恢复。这正是“网络韧性”（cyber resilience）而非“网络安全”（cyber security）的逻辑。

四、与传统监管框架的张力及行业可能的分歧

这份通函的发布，必然与持牌机构现有的合规实践及成本结构产生张力。至少存在三个层面的潜在争议。

争议一：合规清单思维与动态威胁的不匹配。 传统金融监管往往采用“控制清单”模式——机构满足特定技术或流程要求即被视为合规。但AI驱动的威胁具有高度动态性与适应性，一份静态清单可能在发布时即已落后。通函对此的回应是强调“高级管理层负首要责任”以及“负责资讯科技职能的核心职能主管”的持续审视义务〔通函第3段〕。这意味着监管层正在将部分判断责任转移至机构内部，要求其基于风险而非清单进行动态管理。这虽然增加了灵活性，但也可能引发执行标准不统一的争议。

争议二：中小机构的资源可行性。 通函第9条要求“分配足够资源”应对修补需求急增，第12条要求“提升收集威胁情报的能力”，第15条要求部署“预先计划的控制损毁策略”。对于拥有成熟安全运营中心（SOC）的大型券商或交易平台，这些可能是现有能力的延伸；但对于中小型持牌机构，建立7x24小时的威胁监测与实时响应能力，成本极为高昂。通函并未提供分级要求或过渡期安排，这可能导致行业分化加剧。通函第3条允许机构“向资讯科技安全专家征询意见及寻求协助”，这为中小机构借助托管安全服务提供商（MSSP）等外部专业力量提供了合规路径。

争议三：AI语言模型使用的“双重风险”悖论。 通函第8条专门提醒，在业务运作中使用AI语言模型“或会放大现有网络风险和带来额外风险”，包括对抗性攻击、数据泄露及系统提示被推翻。然而，通函同时也建议机构利用AI工具加强威胁侦测能力。这就形成了一个微妙局面：机构一方面需要引入AI以对抗AI驱动的攻击，另一方面又需要防范AI本身引入的新漏洞。如何在这两者之间取得平衡，通函指向了《2024年11月通函》所列出的核心原则（该通函全文可查阅证监会官网），未给出具体技术标准，留待行业实践逐步探索。

五、AI驱动攻击下的机构响应推演（仅用于说明通函要求）

为具体化上述分析，以下构建一个基于通函描述的推演场景，展示传统响应机制与通函要求的韧性机制之间的差异。本场景为假设性示例，不代表证监会规定的具体时间标准或攻击路径。

场景设定：某持牌网上经纪行的客户门户系统存在一个尚未公开的零日漏洞，涉及身份验证模块。攻击者使用AI工具对该门户进行自动化漏洞扫描，并在数小时内完成漏洞识别与利用代码生成。攻击者随后利用该漏洞获取了低权限用户账户，并通过社交工程（AI生成的深度伪造语音电话）欺骗一名IT支持人员提供了高权限凭证。

传统机制下的可能演变：

• 攻击者在系统内横向移动，查询客户持仓及资金数据。机构的入侵检测系统（IDS）因无已知签名而未能告警。

• 若干小时后，安全信息与事件管理（SIEM）系统产生一条可疑登录日志，但可能被淹没在日常告警中。

• 客户报告账户出现未经授权的交易，机构开始调查。

• 机构确认入侵后手动隔离受影响服务器，但在此期间攻击者可能已通过API接口转出部分客户资产。

• 机构向证监会报告事故。

通函要求的韧性机制下的预设响应：

• 事前准备：机构已按第10-11条实施微网络分段及最小权限原则，低权限账户无法直接访问交易API；同时按第11(iv)条对高影响操作（如资产转出）设置了输入与核对分工。

• 攻击初期：攻击者虽利用漏洞，但被限制在客户门户的隔离区段内。基于行为的异常监测系统（第12条）检测到该低权限账户在非工作时间发起异常数量的API查询，自动触发告警。

• 告警后：安全团队收到高置信度告警，按第15条预设的阻断策略，在短时间内通过集中管理平台撤销该账户所有权限，并隔离受影响的虚拟机。

• 响应之后：启动备用系统，客户服务未中断。安全团队开始取证分析并修补漏洞，同时向证监会提交初步报告。

该推演的关键差异在于：韧性机制不依赖“阻止入侵”（这在零日漏洞面前几乎无法保证），而是依赖“限制爆炸半径”和“极速隔离”。这恰恰是通函要求持牌机构通过技术架构和响应流程预先设计的目标。

六、网络安全作为持牌机构的核心竞争力

香港证监会此次通函，可以视为全球主要金融中心监管机构中较早系统回应AI驱动网络风险的规范性文件之一。其核心价值在于明确承认了“时间窗压缩”这一根本性变化，并据此要求持牌机构进行范式转换。

对于持牌机构，有三个战略层面的判断值得关注：

第一，网络安全正从成本中心上升为持牌能力的核心要素。 通函第3条明确将责任上溯至高级管理层及核心职能主管，并指出“负责资讯科技职能的核心职能主管应确保，对机构网络安全框架作出的改动均经充分审视及批准”。这意味着未来证监会的主题检视中，网络安全韧性的完备程度可能直接影响牌照合规评级。

第二，中小机构需要借助外部专业化服务满足韧性要求。 自建完整的安全运营能力成本较高，通函已允许“向资讯科技安全专家征询意见及寻求协助”。托管安全服务提供商（MSSP）和云端安全运营中心（SOC）有望在持牌机构生态中扮演更重要角色。

第三，AI治理与网络安全需要统一管理框架。 通函第8条将AI语言模型的使用风险纳入网络安全框架，提示机构不能将AI风险独立管理。持牌机构应建立统一的AI资产清单、模型风险评估及对抗性测试机制，并与现有事故响应流程衔接。《2024年11月通函》已就生成式AI语言模型的使用提供了核心原则，机构应予参考。

展望未来，证监会明确表示将“继续进行主题检视”、“采取适当的监管行动”以及“在适当情况下或会发出进一步指引”〔证监会新闻稿及通函第19条〕。这意味着这份通函不是终点，而是持续迭代的起点。对于持牌机构而言，现在开始按照韧性逻辑重构网络安全架构，不仅是满足合规要求的必要之举，更是在AI驱动的攻防竞赛中保持业务连续性的战略投资。