IBM：13%企業曾遇AI模型或AI應用安全漏洞

2025-08-07 benny

IBM發佈《2025年數據洩露成本報告》顯示，當前AI應用的推進速度遠快於其安全治理體系的建設。該報告首次針對AI系統的安全防護、治理機制及訪問控制展開研究，儘管遭遇AI相關安全漏洞的機構在調研樣本中佔比不高，一個既定事實是：AI已成為高價值、低門檻的網絡攻擊目標。

本年度的調研結果揭示，許多企業為了加速AI應用而繞過安全治理。缺乏監管的AI系統更易遭受攻擊，且造成的損失更為慘重。

13%受訪企業報告了AI模型或應用的安全漏洞，另有8%表示不確定是否遭遇過此類事件；
在遭遇AI安全漏洞的企業中，絕大部分 (97%) 尚未部署 AI 訪問控制機制；
由此導致60%的AI安全事件造成數據洩露，31%引發業務中斷。

IBM安全和運行時產品副總裁Suja Viswesan指出：「數據表明AI應用與監管之間已存在斷層，網絡攻擊者正伺機而動。上述報告顯示，企業的AI系統普遍缺乏基本的訪問控制，導致敏感數據暴露、模型易被篡改。隨著AI深度融入業務運營，其安全防護必須成為重中之重。不作為的代價不僅是經濟損失，更將損害用戶信任、透明度和控制力。」

報告同時揭示：在安全運營中廣泛採用AI與自動化技術的企業，其數據洩露損失平均減少190萬美元，且處理週期平均減少80天。

該報告由Ponemon Institute執行、IBM贊助分析，數據來源於2024年3月至2025年2月全球600家機構遭遇的數據洩露事件。該報告中關於AI安全漏洞、經濟損失及業務中斷的關鍵發現如下：

AI時代的安全漏洞

AI治理政策：在遭遇數據洩露的機構中，63%尚未建立AI治理政策或仍在制定中。在已制定AI治理政策的機構中，僅有34%會對非授權AI工具進行定期審計。
影子AI的代價：五分之一的企業稱曾因影子AI (非監管狀態下的AI工具使用) 導致數據洩露，僅37%的企業制定了管理或檢測影子AI的政策。與較少使用影子AI的企業相比，使用率高的企業平均數據洩露成本多出67 萬美元。涉及影子AI的安全事件導致個人身份信息 (65%) 和知識產權 (40%) 洩露比例遠超全球均值 (分別為53%和33%)。
AI驅動的智能攻擊：研究顯示，16%的數據洩露事件都涉及AI工具的使用，主要用於網絡釣魚或借助深度偽造的網絡攻擊。

數據洩露的經濟損失

數據洩露的成本：全球數據洩露平均成本降至444萬美元，為五年來首次下降，而美國企業的平均洩露成本卻創下1022萬美元的新高。
全球洩露處理週期創新低：隨著更多企業實現內部漏洞自檢，全球平均洩露處理週期 (含服務恢復的漏洞識別與控制時間) 縮短至241天，較上年減少17天。相比被外部攻擊揭露的漏洞，通過內部檢測發現漏洞的機構平均減少90萬美元損失。
醫療行業洩露成本仍居首位。儘管醫療行業的數據洩露成本較2024年下降235萬美元，其742萬美元的平均損失仍在調研的所有行業中居首。該行業的漏洞識別與控制週期長達279天，比全球均值 (241天) 多出5周以上。
勒索支付被更多企業抵制。去年企業拒絕支付贖金的比例上升，63%的機構選擇拒付 (2024年為59%)。儘管更多企業抵制勒索，敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時，損失高達508萬美元。
AI風險攀升下的安全投入增長乏力。2025年計劃在數據洩露後增加安全投入的企業比例顯著下降，從2024年的63%降至49%。而在計劃追加投入的企業中，關注AI驅動的安全方案或服務的機構不足半數。