
香港證券及期貨事務監察委員會要求虛擬資產平台強制執行防釣魚認證,以應對基於人工智能的網絡威脅
香港證券及期貨事務監察委員會(證監會)已命令所有持牌虛擬資產服務提供者(VASP)及網上經紀商在 12 個月內建立防釣魚登入機制。此舉旨在應對利用人工智能進行的精準釣魚攻擊激增,從而加強對投資者的保護。
2026 年 7 月 9 日,香港證監會(SFC)為應對不斷演變的網絡威脅,命令所有獲發牌的虛擬資產服務提供者(VASP)及網上經紀商採用防網絡釣魚登入要求。此指引是 2026 年 6 月發布的通函之隨後行動,為各平台提供 12 個月的寬限期,以便全面改革其身份驗證基礎設施,應對在 2025 年及 2026 年初威脅地區安全環境的 AI 驅動網絡釣魚攻擊。
證監會明確指出,持牌法團及 VASP 必須符合新發布的防網絡釣魚登入要求。監管機構為受監管虛擬資產生態系統的安全升級設定了 12 個月的合規期限,這是確保香港境內數碼資產交易安全性的強制性措施。各平台必須在指定期限內更換現有的脆弱身份驗證方式。
現有的多重身份驗證方式在阻截高度進化的 AI 網絡釣魚攻擊方面存在局限,迫切需要引入基於硬件的強效身份驗證體系。
此項措施意味著將從 SMS 驗證碼等傳統多重身份驗證(MFA)方式,轉向使用硬件安全密鑰或符合 FIDO2 標準的通行密鑰(Passkeys)。這些技術旨在從源頭上防止攻擊者攔截用戶登入資訊或將其引導至虛假網站。預計這將在應對利用 AI 進行的精細社交工程攻擊中發揮關鍵作用。
2025 年創紀錄的安全事故與加強監管之背景
根據香港電腦保安事故協調中心(HKCERT)發佈的《2026 年香港網絡安全展望》報告,2025 年香港境內的網絡安全事故總數達 15,877 宗,創下歷史新高。這數字較前一年增長了 27%,其中網絡釣魚佔所有事故約 60%,引發了監管機構的即時干預。下表總結了 2025 年香港網絡安全事故的現狀。
- 利用 AI 生成網絡釣魚郵件正文及登錄頁面的案例激增
- 截至 2026 年 1 月,約 11% 的網絡釣魚郵件包含 AI 輔助指標
- 透過精密的社交工程技術加強欺騙用戶及竊取資產的企圖
- 供應鏈風險與 AI 相關攻擊成為主要的保安憂慮事項
2026 年上半年,全球虛擬資產黑客事故達 207 宗,創下歷史新高,但總損失金額減少至不足 10 億美元,約為 9.72 億美元。這顯示雖然攻擊頻率增加,但加強後的保安措施已開始緩解實際的財務損失。香港此次採取的措施亦與全球加強保安的趨勢一致,旨在將損失規模降至最低。
此項保安指令與香港其他監管倡議(如 2026 年 4 月發佈的代幣化基金次級交易框架)具有互補關係。強而有力的防釣魚規例是鞏固香港作為以保護投資者為首要任務的「全球數字資產樞紐」地位之必要基礎。監管機構明確表示,若保安得不到保障,市場增長將難以持續。
然而,在香港約 30% 的企業缺乏專職網絡保安人員的情況下,預計中小型虛擬資產服務提供者(VASP)在執行上將面臨困難。除了構建技術基礎設施的成本外,確保擁有專業人員進行營運將是各平台在未來 12 個月面臨的主要挑戰。亦有憂慮指出,合規成本上升可能會成為進入市場的障礙。
證監會(SFC)計劃在 2027 年 6 月截止日期前,透過「防騙視伏器+」(Scameter+)報告及定期審計,持續監察各平台的合規情況。監管機構打算在發生保安事故時,嚴格評估相關平台的應對能力及合規程度,並將其反映在牌照維持的決定中。投資者應仔細留意日後使用的平台是否符合這些保安標準。
| 指標 | 數值 |
|---|---|
| 報告事故總數 | 15,877 |
| 事故年度增幅 | 27% |
| 網絡釣魚佔總數比例 | 接近 60% |
| 缺乏專職網絡保安人員的企業 | 接近 30% |
來自 HKCERT 的數據,突顯了 2025 年創紀錄的事故量中網絡釣魚的主導地位。


本內容僅供資訊與評論用途,並不構成投資建議。
加入這篇文章的討論
看看其他讀者的想法,也可以留下你的意見。