AI安全隐患加剧，CIO对AI采用的顾虑持续上升

根据Logicalis周一发布的一份报告，保障AI安全已成为首席信息官（CIO）的首要任务。该报告调查了全球逾1000名CIO，发现超过四分之一的受访者将AI视为重大风险来源，其重要程度几乎与恶意软件、勒索软件和网络钓鱼等传统威胁不相上下。

员工对AI的不当使用正在加剧这一担忧。57%的CIO表示，员工的行为正在给数据安全带来威胁。尽管风险不断上升，AI治理措施仍然十分有限，仅有37%的企业表示能够掌握内部AI工具的使用情况。

AI带来的挑战之严峻，使得Logicalis报告中近半数受访者表示，他们希望AI"从未被发明出来"。

尽管传统威胁仍是CIO最主要的关切，但随着企业领导者持续应对影子AI（Shadow AI）、应用蔓延和缺乏监管等关键问题，AI被列为风险来源的频率正在不断上升。

安全团队本已不堪重负，如今又面临盲区扩大的困境，逾三分之一的受访者表示，其检测安全漏洞的能力有所下降，事件响应时间也在持续恶化。

与此同时，AI的内部滥用也带来了新的劳动力挑战。三分之二的受访者表示，员工在AI风险管理方面的培训严重不足，而94%的CIO则指出企业正面临网络安全人才短缺的问题。

尽管技能提升和事后补救支出正随威胁的增加而同步上涨，但将应对模式从被动响应转向主动预防，已成为业界越来越迫切的需求。

Logicalis集团CEO鲍勃·贝尔科斯基（Bob Bailkoski）在报告中表示："AI是网络安全领域的强大力量，但如果缺乏相应的技能和治理机制，它制造的漏洞可能比提供的保护更多。CIO面临着艰巨的挑战——不仅要抵御AI驱动的外部威胁，还要防范那些本应用于保护企业的AI工具本身所带来的内部风险。"

对此，贝尔科斯基建议CIO在AI项目启动之初就将治理与透明度纳入其中，以确保长期稳定运营。

上述研究结论与业界的整体担忧相吻合。云安全联盟（Cloud Security Alliance）与泰雷兹（Thales）近期联合发布的报告同样指出，非结构化数据与治理不善的AI流程正在不断扩大企业的攻击面，68%的受访企业表示其大部分数据仍处于无保护状态。

可靠的数据基础、针对AI的专项技能培训以及完善的治理机制，同样被认定为降低风险的关键手段。

此外，Project Glasswing计划以及Anthropic近期宣布的旨在识别和修复软件漏洞的专项行动，进一步凸显了业界推动治理与技术应用同步扩展的迫切趋势。该计划由Anthropic联合AWS、苹果、博通、思科、谷歌等合作伙伴共同启动，将借助Anthropic的Claude Mythos Preview模型来识别并修复安全漏洞。

Q&A

Q1：Logicalis报告中CIO对AI安全的主要担忧有哪些？

A：根据Logicalis报告，超过四分之一的CIO将AI视为重大风险来源，其威胁程度与传统的恶意软件、勒索软件和网络钓鱼攻击相当。57%的CIO担忧员工不当使用AI会危害数据安全，94%的CIO反映企业存在网络安全人才短缺问题，而仅有37%的企业能够掌握内部AI工具的实际使用情况。

Q2：什么是影子AI，为什么它让企业安全团队感到担忧？

A：影子AI是指员工未经企业IT部门批准或监管，私自使用的AI工具或服务。由于企业缺乏对这类工具的可见性和管控能力，敏感数据可能在无授权的环境中被处理或泄露。Logicalis报告显示，仅37%的企业能掌握内部AI工具的使用情况，这使安全盲区大幅扩大，进一步削弱了安全团队检测漏洞和响应事件的能力。

Q3：Anthropic的Project Glasswing计划是做什么的？

A：Project Glasswing是Anthropic发起的一项安全举措，旨在识别和修复软件漏洞。该计划联合了AWS、苹果、博通、思科、谷歌等多家科技合作伙伴，利用Anthropic的Claude Mythos Preview模型来自动发现并修复安全漏洞，体现了业界推动AI治理与技术应用协同发展的积极努力。