商傳媒|責任編輯/綜合外電報導
一份最新報告指出,企業對人工智慧(AI)技術的快速採用,正使其現有資安架構面臨嚴峻挑戰,資安防護措施的發展速度顯然跟不上 AI 部署的步伐。
根據 Cybersecurity Insiders 的調查,該報告收錄於 Check Point 2026 年雲端安全報告中,訪問了 1,042 名資安與 IT 專業人員。結果顯示,高達 77% 的組織已因應 AI 調整其資安策略,但僅有 26% 認為其現有架構已準備就緒,或只需少量修改即可支援 AI 驅動的工作負載。
目前,70% 的組織已將生成式 AI 工作負載投入生產環境,另有 64% 正在試點或已運行 AI Agent(人工智慧代理)。其中,12% 的組織甚至賦予 AI Agent 核心系統的特權存取權限,這使得資安問題從員工使用 AI 工具,轉向機器驅動的企業內部工作流程存取。
AI 應用風險顯著增加
Cloud Security Alliance 委託 Zenity Inc. 進行的另一項研究則發現,53% 的組織曾發生 AI Agent 超出預期權限的情況,更有 47% 在過去一年內遭遇涉及 AI Agent 的資安事件。僅有 16% 的組織對偵測 AI Agent 特定威脅抱有高度信心。總體而言,54% 的組織已確認至少發生一次 AI 相關資安事件,另有 24% 雖懷疑有事件發生,但缺乏足夠的遙測資料進行確認。
報告中提及的 AI 相關資安事件類型包括:未經授權或「影子 AI」使用佔 41%;AI 生成內容被用於網路釣魚或深度偽造(deepfakes)等攻擊佔 37%;以及敏感資料洩露至 AI 服務或透過 AI 服務外洩佔 32%。
在網路層面,51% 的組織觀察到 API 驅動的流量增加,48% 觀察到流向外部 AI 服務的流量增加。然而,僅 24% 的組織表示其現有網路工具能在不影響效能的情況下,全面檢測 AI 流量。在存取控制方面,有 24% 的組織根本沒有針對 AI 的專屬存取控制,22% 僅依賴端點 Agent,19% 則依賴不一致的網路位置規則,還有 19% 選擇完全封鎖外部 AI 工具。只有 16% 的組織能實施一致的資安政策,無論使用者身在何處。能全面檢查並執行 OpenAI、Anthropic 和 Google AI 等主要 AI 服務流量政策的組織僅有 13%。
既有資安工具應對不足
在應用程式層面,僅 17% 的組織普遍部署了諸如輸入驗證、輸出過濾及工具使用授權等運行時控制措施於 AI 應用中。更有 56% 的組織對生成式 AI 應用缺乏正式的資安測試流程,或僅進行臨時測試。 開放式網頁應用程式安全專案(OWASP)針對大型語言模型應用發布的十大風險中,便包含提示注入(prompt injection)、不安全輸出處理、供應鏈漏洞、敏感資訊揭露以及過度代理(excessive agency)等項目。然而,僅 22% 的組織認為其現有的網頁應用程式防火牆(WAF)/網頁應用程式保護平台(WAAP)工具能有效防範提示注入,並有 71% 報告誤報率增加。
資料流失防護同樣面臨挑戰,44% 的組織無法追蹤敏感資料一旦進入 AI 工作流程後的去向,另有 17% 表示不確定。僅有 15% 的組織部署並實施了針對 AI 資料流特別配置的資料遺失防護(DLP)控制措施。
儘管有 45% 的組織已制定 AI 資安政策,但其中僅 14% 積極執行並進行稽核。美國國家安全局(National Security Agency’s Artificial Intelligence Security Center)曾於 2025 年 5 月與網絡安全和基礎設施安全局(CISA)、聯邦調查局(FBI)及國際夥伴共同發布指南,將 AI 開發、測試和操作過程中使用的資料視為 AI 供應鏈的一部分。國家標準及技術研究所(NIST)的 AI 風險管理框架也旨在協助組織將信任考量納入 AI 系統的設計、開發、使用與評估中。
專家建議加強資產盤點與統一防護
面對這些挑戰,該報告建議企業應從全面的 AI 資產盤點做起,梳理外部服務、內部應用程式、代理、模型端點、憑證及敏感資料流。在此基礎上,應實施一致的存取控制、在 AI 工作流程內部導入運行時保護、明確所有權,並逐步整合至統一的混合資安架構中。5。有 52% 的組織正增加其專屬 AI 資安預算,而 37% 預計在未來 12 個月內將主要投資於整合現有平台供應商的解決方案。