网络安全

人工智能、问责制和网络安全的警醒

发布于 2025年6月26日

更新于 2026年5月18日

作者

Saugat Sindhu, 资深合伙人和咨询服务全球负责人，Wipro

随着组织继续拥抱人工智能（AI）来驱动创新、转型运营和简化决策，他们必须面对另一个现实：AI 正在迅速重塑网络安全威胁格局。虽然 AI 正在帮助 CISO 改进检测和响应，但它也导致了更复杂的网络攻击。同样的 AI 引擎可以生成有价值的洞察力，也可以生成假身份、钓鱼活动和恶意软件。

Wipro 的 2025 年网络安全报告 准确地描述了这种现实。尽管 AI 有助于加强安全性，但组织仍然存在不足。然而，这并不是由于技术问题，而是由于问责制缺口、治理计划割裂以及网络安全意识培训不足。许多网络安全漏洞并非仅由高级对手造成，而是由人为错误和对基本网络安全的投资不足所致。

扩大的威胁格局

AI 已经改变了网络犯罪者的格局。他们现在可以使用生成模型来创建个性化的钓鱼信息、自动创建可以避免检测的恶意软件，甚至可以通过深度伪造来模仿高管的声音。这些策略不再仅限于国家行为者或精英黑客团体，因为它们可以通过开源工具和 AI 服务平台获得。

Wipro 的研究表明，44% 的组织现在将内部疏忽和员工网络安全意识不足列为首要漏洞，甚至超过了勒索软件在风险指数中的排名。这表明许多企业尚未跟上攻击的演变性质：传统系统、过时的软件和弱的补丁管理策略使得网络犯罪者容易侵入网络。

忽视基本的安全实践不再是一种过时或可以原谅的疏忽；它是一种关键的商业风险。AI 启用的攻击只会加剧那些认真对待网络安全的组织和那些不认真对待网络安全的组织之间的差距。

责任界限的模糊

报告的主要发现之一是网络安全所有权的不明确性。虽然 53% 的 CISO 直接向 CIO 汇报，但其余的则分散在各个高管职能中，包括 COO、CFO 和法律团队。这削弱了决策能力，并使得确定谁真正负责安全结果变得困难。

这个问题变得更加严重，当 AI 出现时。报告发现，70% 的欧洲受访者认为 AI 实施应该是共享的责任，但只有 13% 有一个指定的团队来监督它。AI 采用往往在没有关键风险监督的情况下进行，没有明确的所有权，这导致了不一致的做法、未经管理的漏洞和错失了与监管框架保持一致的机会。

IT 领导者必须将网络安全和 AI 治理视为高管层面的战略优先事项。高级主管必须超越被动的监督，参与桌面演练、情景规划和网络安全准备审查。在今天的环境中，合作、沟通和危机管理对于保持韧性是必要的。

AI 在重塑安全方面的作用

虽然 AI 创建了新的威胁，但它也为组织提供了有力的能力来保护其网络。AI 驱动的威胁检测可以实时分析大量数据，减少假阳性，识别可能指示漏洞的行为异常。它可以自动化事件分类，加快响应时间，并帮助安全运营中心。

根据 Wipro 的说法，93% 的受访组织优先考虑 AI 用于威胁检测和响应，这反映了组织对威胁检测的重视。AI 的这种双重性质需要采取谨慎和负责的实施方法。组织需要治理框架来涵盖模型可解释性、偏差缓解和遵守数据隐私法。没有这些，AI 可能会成为不可预测的风险，而不是韧性的工具。

为什么员工培训仍然很重要

在先进的 AI 工具的世界中，人为错误仍然是网络安全中最一致的漏洞。钓鱼仍然是 65% 的组织的首要攻击向量。随着攻击者使用 AI 创建更令人信服的社会工程策略，用户触发的漏洞风险增加了。

主要原因之一是组织经常将网络安全培训视为一次性合规活动。它必须是一个持续的过程，随着时间的推移而演变。员工应该接受有关常见威胁和 AI 启用的风险的培训，例如深度伪造语音模仿或 AI 启用的平台上的提示注入攻击。忽视更新、未打补丁的系统和对传统基础设施的依赖仍然是持续的问题，这些疏忽为漏洞提供了机会。培训必须与常规审计、补丁管理和跨部门协调同时进行。

为了真正抵御现代威胁，组织必须投资于人工智能和机器智能，并确保他们的团队与技术一样敏捷和适应性强。

建立问责制文化

网络安全战略的基础不是技术，而是明确性。组织必须定义谁负责什么，建立治理结构，并鼓励一种安全第一的文化，涵盖所有领域。

关键是赋予 CISO 或等效的 IT 领导角色权威和可见性。成立跨职能的网络安全风险委员会，包括 IT、合规、法律和业务单元代表，是明智的选择。一些公司正在建立专门针对网络安全监督的董事级委员会。

AI 部署的治理框架必须包括对训练数据、模型部署、访问权限和实时监控的控制。这些框架应该随着监管法规（如 EU AI 法案）和 AI 使用的新兴行业标准而演变。

AI 安全教育也必须融入这种文化转变中。AI 安全不仅仅是 IT 问题；它是各个部门、地区和角色的共享责任。当整个组织的每个人都了解其在保护数据和系统方面的角色时，整个公司都会受益。

从意识到行动

AI 正在重塑网络安全格局。攻击者变得更快、更具可扩展性和自动化。防御者拥有强大的工具，但工具本身并不能拯救他们。

组织必须建立更好的治理流程，而不仅仅是更强大的算法。这包括阐明 AI 系统的责任，并可能将 AI 纳入网络安全混合中。

报告传达了一个明确的信息：技术正在迅速发展，但人们、流程和优先事项正在落后。弥合这一差距是一项战略性的迫切需求，尤其是在 AI 出现的现在。毫无疑问，AI 将继续改变我们生活和工作的方式。但是，无论这种转变是加强还是损害您的组织，都取决于您今天开始如何认真对待问责制。