问题:智能系统加速落地,集中监管与风险识别出现断层。调查报告显示,智能能力往往不是以独立系统部署,而是深度嵌入企业既有技术体系,包括云平台资源、身份与权限体系、业务应用和数据处理链路等。由于对应的组件分别由不同团队或外包方负责,过去依赖统一资产清单与集中监测的安全治理方式被明显削弱。受访安全负责人中,约67%表示对企业内部智能能力的使用情况缺乏足够可视性,几乎无人认为已经“完全看得见”。在此情况下,未经批准的工具接入、绕开审批的“影子使用”等更容易出现,安全团队也难以及时回答“系统调用了哪些身份凭据、触达哪些数据、控制失效后可能发生什么行为”等关键问题。 原因:能力短缺与工具不匹配成为主要瓶颈,资金并非首要障碍。报告显示,受访者将“缺乏内部专业能力”列为主要阻碍之一(约50%),其次是“对使用情况缺乏可视性”(约48%)以及“缺少专门安全工具”(约36%);认为预算是关键问题的仅约17%。这表明,更多机构已意识到风险并愿意投入,但在方法、人才与工程化工具上准备不足。与传统信息系统相比,智能系统带来更复杂的行为特征:输出可能直接影响业务决策链条,访问路径更间接,系统间以高权限交互的频率也更高。若缺少专业评估与持续验证机制,企业很难判断既有控制是否真正覆盖新的风险面。 影响:沿用传统控制的“迁移式防护”难以适配新攻击路径,风险可能向核心业务外溢。调查显示,约75%的受访安全负责人主要依赖终端、应用、云或API安全等传统控制手段来保护相关系统,使用专门面向该领域安全工具者仅约11%。在技术扩张初期用既有体系过渡并不罕见,但局限性正在显现:一是传统控制多围绕固定边界与明确资产设计,难以覆盖由模型调用、插件扩展、外部接口组合形成的新访问模式;二是难以识别“隐式行为风险”,例如单次请求看似合规,却在多系统串联后导致越权访问或敏感数据外流;三是当组织无法建立可追溯的调用链与权限链时,事故处置更依赖经验判断,响应时间被拉长,业务影响面随之扩大。随着相关能力逐步成为企业关键基础设施,安全短板可能深入传导至合规、声誉与经营连续性等层面。 对策:从“工具加装”转向“能力体系建设”,以可视化、验证与跨团队治理为抓手。报告建议,将重心从单点防护转为体系化治理:其一,建立统一的资产与调用可视化机制,梳理模型、数据源、权限凭据、API与第三方组件之间的依赖关系,形成动态更新的“使用地图”,减少盲区;其二,强化跨系统的安全验证能力,将对抗性测试、权限边界验证、数据访问审计纳入持续流程,确保控制措施在运行中有效,而不只停留在制度与配置;其三,补齐专业队伍与工程工具短板,通过内部培养、岗位调整与引入外部服务结合,提升风险评估、攻防测试、事件响应与治理落地能力;其四,推动跨部门协同,把研发、数据、业务与安全纳入同一治理闭环,明确审批、变更、回滚与责任边界,压缩“影子使用”的空间。 前景:从“部署速度竞争”转向“安全能力竞赛”,持续验证将成为长期关键。报告认为,问题不只是认知不足,更在于基础能力体系没有跟上技术嵌入的速度。未来,智能能力将更深进入生产、营销、客服与运营等环节,攻击面也随之扩大。对企业而言,下一阶段的竞争不只在于“上不上、用不用”,更在于能否在复杂环境中持续证明系统安全可控:既要看得见,也要测得准、管得住、追得回。随着监管要求、客户审查与行业标准逐步完善,具备可解释的治理路径与可验证的安全能力,可能会成为企业数字化能力的重要组成部分。
当人工智能从实验室走向产业核心,安全问题已不只是技术议题,也关系到数字化转型的成效与风险承受能力。防护体系的升级既考验技术储备,也考验组织协同与治理能力。把成熟经验与新方法结合起来,或将成为走出困局的关键。