Aggregator

越来越多企业认为，将人工智能融入业务运营是绝佳选择，甚至是绝对必要的举措——AI确实能兼顾实用性与必要性。但许多企业既不了解AI背后潜藏的网络安全风险，也未意识到自身在保障AI部署安全方面的准备严重不足。

无论是为提升内部生产力，还是打造面向客户的创新服务，AI（尤其是生成式AI）都能为企业带来革命性变革。然而，若缺乏安全保障，AI部署引发的问题将远超其带来的价值。没有完善的防护措施，AI非但无法强化防御，反而可能引入漏洞，为网络犯罪分子打开方便之门。

一、AI应用增速远超安全准备进度

企业对AI的需求毋庸置疑。据EY数据显示，92%的技术负责人计划在2025年增加AI相关支出，较2024年增长10%。智能体AI正成为极具变革性的前沿领域，69%的技术负责人表示，企业需借助该技术维持竞争力。

但企业对AI安全的关注度严重不足。世界经济论坛报告指出，66%的企业认为未来12个月内AI将对网络安全产生重大影响，但仅37%的企业在部署前建立了AI安全评估流程。

中小企业面临的风险更为突出——69%的中小企业缺乏AI安全部署保障措施，如训练数据监控、AI资产盘点等。

Accenture的调研也发现了类似差距：77%的企业缺乏基础的数据与AI安全实践，仅20%的企业对自身保护生成式AI模型的能力有信心。

实际上，这意味着大多数企业在拥抱AI时，其系统与数据并未获得真正的安全保障。

二、不安全的AI部署为何危险

未经安全考量的AI部署会带来重大合规风险，更会直接助长网络攻击者的气焰——他们可通过多种方式滥用生成式AI发起攻击：

1.  AI驱动的钓鱼与欺诈：WEF指出，47%的企业将AI赋能的网络攻击列为首要担忧，这并非空穴来风——去年有42%的企业遭遇过社会工程学攻击。

2.  模型操纵：Accenture强调，Morris II等AI蠕虫可将恶意提示嵌入模型，劫持AI助手实现数据窃取或垃圾邮件传播。

3.  深度伪造诈骗：犯罪分子正越来越多地利用AI生成的语音、图像和视频实施欺诈。例如，某起攻击中，攻击者利用逼真的语音深度伪造技术冒充意大利国防部长，骗取知名商界人士向海外转账。

AI降低了攻击门槛，使诈骗活动更快速、成本更低，且更难被检测。

三、需从源头构建AI安全防线

企业若想安全地发挥AI的全部价值，就必须树立“安全优先”的理念。不应在事故发生后再补建防御，也不应拼凑多个独立工具，而应从一开始就采用原生集成的网络安全解决方案。借助可通过中央控制台轻松管理、无需手动集成即可协同工作的解决方案，企业可实现以下目标：

1.  将安全嵌入AI开发流程：安全编码、数据加密和对抗性测试应成为每个开发阶段的标准流程。

2.  持续监控与验证模型：需针对模型操纵、数据投毒等新兴风险对AI系统进行持续测试。

3.  整合网络弹性策略：安全不应孤立存在。防御措施需原生集成于端点、网络、云环境和AI工作负载中，这一策略可降低复杂性，防止攻击者利用薄弱环节突破防线。

WEF与Accenture均强调，在AI时代准备最充分的企业，是那些拥有集成策略与强大网络安全能力的组织。

研究显示，仅10%的企业进入了所谓的“重塑就绪区”——即结合成熟的网络策略与集成化的监控、检测和响应能力。处于该阶段的企业遭遇AI赋能网络攻击的概率，比准备不足的企业低69%。

四、托管服务提供商（MSP）与企业的角色

对MSP而言，AI浪潮既是挑战也是机遇。客户对AI工具的需求将日益增长，同时也会依赖MSP保障其安全。

《2025年上半年Acronis网络威胁报告》显示，攻击者已加大对MSP的AI赋能攻击力度。2025年上半年，针对MSP的攻击中逾半数为钓鱼尝试，且主要由AI技术驱动。 

因此，MSP必须提供覆盖云、端点和AI环境的集成式防护，确保自身与客户的安全。

对企业而言，未来的发展路径在于平衡雄心与谨慎。AI能提升效率、激发创造力并增强竞争力，但这一切的前提是负责任的部署。

企业应将AI安全列为公司发展的优先事项，建立清晰的治理框架，并确保网络安全团队接受过应对新兴AI驱动威胁的培训。

五、AI部署的未来与安全紧密相连

生成式AI已成为常态，并将更深入地融入企业运营。但在未保障系统安全的情况下仓促推进，犹如在沙地上建造摩天大楼——地基过于薄弱，无法支撑整个建筑。因此，需通过利用集成化、前瞻性的安全措施与解决方案，企业既能释放AI的潜力，又不会加剧自身在勒索软件、欺诈及其他新兴威胁面前的暴露风险。

F-Droid has warned that Google’s new policy could threaten not only the very existence of its project but

The post The End of Sideloading? Google’s New Policy Puts F-Droid and Other App Stores at Risk appeared first on Penetration Testing Tools.

GitHub has unveiled the public preview of Copilot CLI—a tool that brings the power of its AI agent

The post GitHub Unveils Copilot CLI: A New AI Agent That Brings Coding Assistance to Your Terminal appeared first on Penetration Testing Tools.

A new tool has emerged on the cybercriminal marketplace—one that has swiftly become a weapon of choice for

The post HeartCrypt: The MaaS Platform That Packs Malware Inside Legitimate Apps, Then Kills Your Antivirus appeared first on Penetration Testing Tools.

The U.S. Department of Justice has obtained court authorization to conduct a remote search of Telegram’s servers as

The post DOJ Obtains Court Order for Remote Search of Telegram Servers appeared first on Penetration Testing Tools.

Specialists have disclosed a new critical vulnerability in the wireless network configuration procedure of Unitree robots. The flaw,

The post UniPwn: Critical Zero-Day Flaw Found in Unitree Robots Allows Root Access via Bluetooth appeared first on Penetration Testing Tools.

Researchers at Fortinet FortiGuard Labs have uncovered a new cyber-attack campaign masquerading as communications from the National Police

The post New Phishing Campaign Impersonates Ukrainian Police to Deliver Amatera Stealer and PureMiner appeared first on Penetration Testing Tools.

Experts at Silent Push have released an in-depth study on subdomain rental services, often referred to in documentation

The post The Shadow Internet: A New Report Exposes How Cybercriminals Exploit Subdomain Rental Services appeared first on Penetration Testing Tools.

The world’s leading cybersecurity agencies have issued urgent warnings of a critical threat to global network infrastructure: vulnerabilities

The post CISA Issues Emergency Directive: Zero-Day Attacks on Cisco Firewalls Pose Global Threat appeared first on Penetration Testing Tools.