网络安全

AI，问责制和网络安全的警醒号

Published June 26, 2025

Updated April 26, 2026

Saugat Sindhu, Sr. Partner and Global Head of Advisory Services, Wipro

当组织继续拥抱人工智能（AI）来驱动创新、转型运营和简化决策时，他们必须面对另一个现实：AI 正在迅速重塑网络安全威胁格局。虽然 AI 正在帮助 CISO 改进检测和响应，但它也导致了更复杂的网络攻击。同样的 AI 引擎可以生成有价值的洞察，也可以生成假身份、钓鱼活动和恶意软件。

Wipro 的 2025 年网络安全状况报告 准确地描述了这一现实。尽管 AI 有加强安全的承诺，但组织仍然没有做到位。然而，这并不是因为技术，而是因为问责制的缺口、治理计划的孤立和网络安全意识培训的不足。许多网络安全漏洞并不是来自高级对手，而是来自人为错误和对基本网络安全的投资不足。

扩大的威胁格局

AI 已经改变了网络犯罪者的格局。他们现在可以使用生成模型来制作个性化的钓鱼信息，自动创建可以避免检测的恶意软件，甚至操纵音频和视频来模仿高管通过深度伪造。这些策略不再仅限于国家行为者或精英黑客团体，因为它们可以通过开源工具和 AI-as-a-service 平台获得。

Wipro 的研究显示，44% 的组织现在将内部疏忽和员工网络安全意识的缺乏列为顶级漏洞，甚至超过了勒索软件在风险指数上的排名。这表明许多企业没有跟上攻击的演变性质：遗留系统、过时的软件和弱的补丁管理策略使得网络犯罪者容易突破网络。

忽视基本的安全实践不再是过时或可以原谅的疏忽 —— 它是一个关键的商业风险。AI 启用的攻击只会加宽那些重视网络安全和那些不重视网络安全的组织之间的差距。

模糊的责任界限

报告的主要发现之一是网络安全所有权的缺乏清晰度。虽然 53% 的 CISO 直接向 CIO 汇报，但其余的则分散在各个高管职能中，包括 COO、CFO 和法律团队。这削弱了决策并使得真正负责安全结果的人不明确。

当 AI 出现时，这个问题变得更加严重。报告发现，70% 的欧洲受访者认为 AI 实施应该是共享的责任，但只有 13% 有指定的团队来监督它。AI 采用往往没有关键的风险监督，没有明确的所有权，导致不一致的做法、未经管理的漏洞和错失与监管框架对齐的机会。

IT 领导者必须将网络安全和 AI 治理作为战略优先事项放在董事会层面。高级执行官必须超越被动的监督，并参与桌面演练、情景规划和网络安全审查。在今天的环境中，协作、沟通和危机管理对于维持弹性是必要的。

AI 在重塑安全方面的作用

虽然 AI 创造了新的威胁，但它也提供了有力的能力来帮助组织保护其网络。AI 驱动的威胁检测可以实时分析大量数据，减少假阳性，并识别可能指示漏洞的行为异常。它可以自动化事件分类，加速响应时间，并帮助安全运营中心。

根据 Wipro 的说法，93% 的受访组织优先考虑 AI 用于威胁检测和响应，反映了组织对威胁检测的重视。AI 的这种双重性质需要一种谨慎和负责的实施方法。组织需要治理框架来涵盖模型可解释性、偏差缓解和遵守数据隐私法。没有这些，AI 可以成为不可预测的风险，而不是韧性工具。

为什么员工培训仍然很重要

在高级 AI 工具的世界中，人为错误仍然是网络安全中最一致的漏洞。钓鱼仍然是 65% 的组织的顶级攻击向量。随着攻击者使用 AI 创建更令人信服的社会工程策略，用户触发的漏洞的风险增加。

其中一个主要原因是组织经常将网络安全培训视为一次性合规活动。它必须是一个随时间推移而演变的持续过程。员工应该接受有关常见威胁和 AI 驱动风险的培训，例如深度伪造语音模仿或 AI 启用的平台上的提示注入攻击。被忽视的更新、未打补丁的系统和对遗留基础设施的依赖仍然是持续的问题，这些疏忽为漏洞提供了机会。培训必须与常规审计、补丁管理和跨部门协调同时进行。

为了真正抵御现代威胁，组织必须投资于人工和机器智能，并确保他们的团队与技术一样敏捷和适应性。

建立问责制文化

网络安全战略的基础不是技术；它是清晰度。组织必须定义谁负责什么，建立治理结构，并鼓励一个涵盖所有领域的安全第一文化。

关键是赋予 CISO 或等效的 IT 领导角色以权力和可见性。形成包含 IT、合规、法律和业务单元代表的跨职能网络风险委员会是明智的。一些公司正在建立专门针对网络安全监督的董事会委员会。

AI 部署的治理框架必须包括对训练数据、模型部署、访问权限和实时监控的控制。这些框架应该随着监管的演变，例如 EU AI 法案和 AI 使用的新兴行业标准。

员工对 AI 的教育也必须嵌入这一文化转变中。AI 安全性不仅仅是一个 IT 问题 —— 它是一个跨部门、地区和角色的共享责任。整个公司在保护数据和系统时都会获益，当组织中的每个人都理解他们在保护数据和系统中的作用时。

从意识到行动

AI 正在重绘网络安全的格局。攻击者更快、更具可扩展性和自动化。防御者拥有强大的工具，但工具本身并不能拯救他们。

组织必须建立更好的治理流程，而不仅仅是更强大的算法。这包括澄清 AI 系统的问责制，并可能将 AI 纳入网络安全混合中。

报告传达了一个明确的信息：技术正在迅速进步，但人们、流程和优先事项正在落后。弥补这一差距是一个战略性的迫切需求，尤其是在 AI 出现的现在。毫无疑问，AI 将继续改变我们生活和工作的方式。但是，这种转变是否会加强或损害您的组织取决于您今天如何认真对待问责制。