近日,安全厂商Wiz联合Gatepoint Research发布的调查报告《AI Security Readiness: Insights from 100 Cloud Architects, Engineers, and Security Leaders》揭示,随着企业AI云服务部署加速推进,安全团队明显掉队。该报告受访对象包括100位来自架构师、工程师、高管等职务的云计算和网络安全专业人士,覆盖约96家组织,行业分布广泛。
报告内容主要聚焦企业AI应用部署和应用的四大安全痛点:
一、AI 服务已成标配,但专业AI安全人才严重匮乏
报告显示,87%的受访组织正在使用AI云服务,常见平台包括OpenAI和Amazon Bedrock。但与此同时,31%的受访者将缺乏AI安全人才列为最大的安全挑战,这是调查中最普遍被提及的问题。
如报告指出:安全团队面临保护陌生系统、快速构建但缺专业知识的窘境。在AI 技术飞速发展的大背景下,专业人才严重滞后,正成为企业的潜在风险。
二、AI 安全工具稀缺,传统手段仍居主流
尽管AI部署广泛,仅有13%的受访组织采用了AI安全态势管理(AI-SPM)工具。相比之下,传统安全措施如:
-
安全开发流程(53%)
-
多租户隔离(41%)
-
定期审计以发现ShadowAI(35%)
尽管在云迁移初期仍属于“基础管控”,但调查认为这些手段难以应对AI特有风险,例如模型侧通道访问、训练数据污染或生成型API的滥用 。
报告指出:“传统工具面对AI驱动的威胁,例如训练数据投毒和未授权API访问显得无能为力。“
三、混合云+多云成趋势,但工具尚未跟上
当前,包括OpenAI在内的多家公司承认“过度记忆”是一种训练失误,而非设计目标。但此次研究为政策制定者提供了一个“可量化”的标准
调查结果显示,45%的组织采用混合云架构,33%处于多云环境 。然而大多数团队仍依赖EDR(端点检测与响应),后者是为集中式环境设计的传统工具。
更令人担忧的是,有25%的受访者竟然“不知道哪些AI服务在运行” 。这意味着许多组织对 影子AI毫无感知,甚至对自己所用服务一无所知。
四、安全目标明确但难落地
当调查问及 AI 安全的首要目标时,受访者普遍认同:
-
数据隐私:69%
-
威胁可视性:62%
-
易集成性:51%
但现实是,25%的团队对自己运行的AI服务一无所知 。这揭示一个尴尬:安全意愿很强,但缺乏执行路径、缺乏可见性与流程集成机制。在分散式组织中,AI 往往未经中心审批就自下而上部署,这让安全监管成了“纸上谈兵”。
受访专家建议企业AI安全方案选型主要考虑以下因素:
AI 安全四阶段成熟度模型
报告还构建了“云安全成熟度框架”,将AI安全分为四个阶段 :
目前,大多数组织仍停留在1或2阶段,尚未进入真正的“AI集成”或“主动SecOps”阶段 。
专家建议企业安全团队采用四个关键措施/路径:
-
持续发现与追踪AI模型/Shadow服务
-
将安全左移至SDLC的早期阶段
-
从服务级到多云/混合云统一执行政策
-
提供AI安全技能培训,提升团队能力
报告警醒:AI威胁一旦出现,传统“事后补救”模式已不够,只有“持续探测+自动响应”才足以应对。(“Security can’t be reactive—it must be continuous and proactive.”)
小结:AI探索进入关键转折期,安全要乘势突围
总体来看,AI部署已进入全面爆发阶段,但多数企业的安全能力尚未同步跟上。无论是专业人才缺口,还是AI‑SPM工具稀缺,亦或是可视性不足、落地难题,都暴露出整个企业IT安全的结构性弱点。
专家指出,这既是警钟,更是窗口:企业若能迅速补上人才与工具短板,引入AI 安全态势管理平台,并与DevOps流程深度整合,则将成为下一代云安全的先锋。反之,影子AI和混合云环境将继续扩大攻击面,带来合规、数据泄露、恶意模型操控等多重风险。
报告链接:https://www.wiz.io/reports/ai-security-readiness
原文始发于微信公众号(泛安全):2025 年 AI 安全崩塌?四大痛点曝光,87% 企业正在踩坑!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论