产业互联网第一媒体。产业家
AI是否真正大规模进入核心业务,关键不在于模型能力又提升了多少,而在于一旦出现问题,系统能否被及时停下,过程能否被追溯,责任能否被清晰界定。在这些问题解决之前,安全都会是AI落地过程中最现实、也最难绕开的门槛。
作者|斗斗
编辑|皮爷
出品|产业家
攻击一旦被AI变成一种"产能",攻防关系面临的则是结构性失衡。
这种变化已经开始在现实中显现。
12月22日22时,快手遭遇大规模黑灰产攻击,监测数据显示峰值时段约有1.7万个被控僵尸账号同步开播推送色情低俗内容。事实上,攻击手法并不新奇,真正改变战局的是AI带来的"杠杆效应",即在AI的加持下,攻击成本降到极低,攻击效率反而被成倍放大,防守方的响应能力首次被压制在对手之下。
这并非孤立事件。一组来自OECD的AI事件监测数据显示,2024年的AI风险事件总数约是2022年的21.8倍,2019‑2024年间记录的事件中约74%与AI安全相关,安全与可靠性事件较2023年增长83.7%。
在这种背景下,安全的逻辑正在被迫重写。
过去,企业在选择大模型或Agent服务商时,性能、价格、生态几乎天然排在最前面,安全更多被视为一种事后补救能力。但在一轮又一轮实战之后,越来越多企业开始意识到,一旦将业务流程、用户触点乃至决策权交给AI,安全就不再是"事后诸葛亮"的选项,而是必须前置到选型阶段。
而这场微妙的反转,正在倒逼企业重新排序与AI相关的所有决策优先级。一组来自阿里云与Omdia联合发布AI安全报告显示,企业将安全与数据隐私视为AI主要障碍的比例,从2023年11%激增至2024年43%。
安全,第一次从"可选项"变成了AI能否落地的前置条件。
一
从探索到深水区,
AI安全成为落地前提
2025年,企业对"安全"的敏感度正迅速放大。
进入2025年,AI已从技术探索阶段迈入企业业务的深度应用场景。麦肯锡《ThestateofAIin2025》报告显示,88%的受访企业表示已在至少一个业务职能中使用AI技术,比去年整整高出了10个百分点。
而随着AI使用范围和能力的迁移,企业对安全的敏感度正在迅速放大。要知道早期的AI应用多停留在撰写文案、内容生成及简单数据分析等辅助性场景,这类应用即便出现误判或偏差,对业务本身的损害有限。但是随着AI加速落地,其开始被赋予更强的权限,例如读取业务数据、调取内部系统、参与流程决策等。
Gartner预测,到2028年33%的企业软件将包含AI代理功能,可自主完成15%的人类日常工作决策,权限扩张带来的风险敞口持续扩大。
在这种背景下,AI一旦失控,就不再是一个输出错误那么简单,而可能会直接暴露敏感数据或影响生产与交易流程。
这种担忧并非空穴来风。一家来自HarmonicSecurity的分析显示,在2025年二季度,企业使用的各类GenAI平台中,超过4%的对话、20%以上的上传文件都包含敏感企业数据。这意味着一旦管控不到位,风险会在日常使用中被持续放大。
也正因为如此,安全不再是可有可无的选项。根据赛博研究院发布的《2025全球可信AI治理与数据安全报告》显示,模型的准确性与稳定性是企业最看重的因素,紧随其后的便是占据79%数据使用的合规性与隐私保护、和占据54%的总拥有成本与投资回报比。安全,正在被主动前移到项目启动和技术选型阶段,成为企业AI落地的关键前提。
这一点,已经成为头部企业的共识。
一则全球16家头部AI企业签署的"前沿人工智能安全承诺"中,明确提出"开发和部署前沿AI模型和系统时需有效识别、评估和管理风险,设定不可容忍风险的阈值",印证了安全已成为行业共识的核心指标。
这种风险感知,具体还体现在企业选择合作伙伴和推进项目的实际流程中。
例如,一家大型制造企业IT负责人向产业家透露,过去只要模型在试点阶段跑通业务场景,就可以进入下一阶段评估。但在最新一轮Agent能力测试中,该企业要求测试包括提示注入、越狱风险、越权调用等负面测试用例,否则该方案直接无法进入评审环节。
再比如,有证券行业的CIO在内部邮件中明确要求:AI平台必须支持企业私有部署或VPC隔离,并禁止任何业务数据用于第三方训练,否则不予进入第二轮评估。这一类条款的出现,反映出企业在第一阶段,就开始把数据安全和访问控制,作为了筛选供应商的核心条件。
可以发现,安全不再是一个孤立的成本中心,而是决定AI能否被广泛采纳、可信赖运营的核心条件。更重要的是,安全也正成为企业生态中信任的最重要货币。在合作伙伴选择、行业合作框架、客户合同谈判中,AI安全保障已经成为谈判桌上的核心条款之一,甚至直接影响合同签约与商业合作成败。
在这其中,谁能在效率红利与安全红线之间找到更稳妥的平衡,谁才有资格在下一阶段的AI竞争中真正跑在前面。
二
安全"前移"AI选型,
正在改变安全竞争格局
在2025年,国内首次进行了AI大模型实网众测,发现了281个安全漏洞,其中大模型特有漏洞177个,占比63%。这些漏洞包括提示注入、越狱攻击、对抗样本等传统安全体系无法覆盖的威胁类型。
传统安全厂商的策略,已经无法承受AI时代的新攻击手段。
随着AI技术的普及彻底改变了网络攻击的底层逻辑。安全厂商要做的事情越来越多,但价值越来越难量化。但这不是厂商能力的问题,而是产业结构转向责任共担。这对产业的影响是深刻的。一方面,安全能力将不可避免地被"内嵌化",融入云平台、模型底座、业务系统,独立交付的空间被不断压缩;另一方面,安全厂商如果无法提供治理层面的价值,就会被边缘化为某种可替换能力模块。
而想要避免成为被内化的那一个,则必须让自己成为系统运行过程中绕不开的一环。
以360、奇安信、深信服、绿盟科技为代表的传统网络安全厂商,整体策略并非推倒重来,而是将AI视为能力增强器,选择在既有安全产品与平台中嵌入大模型能力。
以360为例,其在2023年正式发布"AI原生安全大模型",宣称基于超过40PB的安全样本数据、数十年攻防对抗经验,用于APT攻击检测、威胁情报自动挖掘和安全事件研判。据其披露,在APT告警去重和误报压缩方面,模型辅助分析可将人工分析成本降低50%以上。
这一路径的优势非常明显。根据赛迪顾问数据,中国政企网络安全市场中,头部厂商在政府、金融、能源等行业的存量覆盖率普遍超过60%,可以说传统厂商牢牢掌控政企安全入口。
与传统厂商不同,阿里云、腾讯云、百度智能云等云服务商选择从基础设施与平台层入手,将安全能力直接"内建"到AI的全生命周期中。
在实际落地上,这类厂商普遍在模型托管、推理调用、插件接入、Agent编排等环节,默认启用安全控制策略,并将身份、权限、数据、模型版本与AI使用过程进行强绑定。例如阿里云在其大模型服务平台中,将API调用鉴权、Prompt审计、RAG数据访问权限作为默认能力;腾讯云在企业大模型平台中,将模型调用与企业IAM、日志审计、数据分级打通;百度智能云则在Agent构建框架中限制外部工具调用权限,降低模型"越权执行"风险。
这类厂商由于安全能力被嵌入到主路径中,其边际成本几乎为零。尤其在Prompt注入、RAG检索污染、Agent工具滥用等新型攻击面上,平台级约束明显比事后检测更具规模效率。
另一类重要玩家,是聚焦细分场景的垂直安全厂商。以数美科技为例,其长期深耕内容安全、反欺诈、黑产行为建模。在生成式AI场景下,数美将原有的风控模型迁移至AI滥用治理中,用于识别恶意Prompt、自动化诈骗脚本生成、虚假内容批量生成等行为。据公开案例,其在部分社交与内容平台中,AI滥用识别的命中率已高于90%。
这类厂商的优势在于专业能力聚焦,模型对抗经验深。能高风险场景中提供不可替代价值。
近年来,也有一批原生AI安全厂商正快速崛起。这类公司并非从传统安全体系演进而来,而是直接聚焦模型本体与智能体层,从设计阶段降低风险。这类厂商通常技术迭代快、对新型对抗攻击高度敏感,在模型级安全上具备先发优势。
综合来看,在生成式AI的持续压力下,安全产业的分工正在重排。不同位置的厂商,正从各自的切口出发,共同托起一套亟需重构、尚未定型的"新安全体系"。
三
AI安全的能力边界:
无法"清零",只能"控损"
当安全被推到AI选型的前台,一个绕不开的问题也随之浮现:安全是不是越强越好?是否存在足够安全?
答案并不乐观。OpenAI曾在公开研究中给出过一组判断:在AI浏览器、Agent等场景中,提示注入属于结构性风险。即便持续加固,安全系统也无法做到100%拦截,最优状态,最优防护仅能将攻击成功率压至5%-10%。
这一点,在数美科技CTO梁堃的判断中同样明确:"当前实现对黑灰产的百分之百阻断,并不现实。"
不过,需要澄清的是,并非所有AI场景都把安全放在第一位。
在大量探索性与边缘业务中,企业依然会选择效果优先。例如内部知识助手、营销内容生成、数据分析Copilot,这些场景要么不接触敏感数据,要么不具备执行权限,即便模型出现偏差,风险也相对可控。在这些场景中,企业更关心的是投入产出比,而非安全治理的完备性。
真正发生转折的,是AI开始进入核心业务链路之后。在涉及客户数据、交易决策、生产调度、风控审核等场景中,企业往往会迅速收紧策略,将安全前置为硬约束。
这种认知转变,直接带来了三种明显的使用方式变化。
第一种转向,是从"能跑"到"能控"。
在安全前置后,企业普遍开始限制模型可触达的数据范围。原本可以全量接入的数据,被拆解为分级、分域、分场景使用;RAG检索不再"全库召回",而是限定在经过审核的知识集合中。这可能会导致模型在某些任务上的准确率可能下降,召回率受到影响,业务侧不得不投入更多精力进行数据治理与结构化整理。
不过,这并非技术倒退。对企业而言,宁愿牺牲部分效果,也不愿承担不可控风险。
第二种转向,是从"可用"到"可审"。
随着AI被纳入正式生产环境,是否具备审计与留痕能力,成为一道关键门槛。Prompt是否可追溯?模型引用了哪些检索内容?Agent调用了哪些工具、在什么时间、以什么权限执行?这些原本属于工程细节的问题,开始被写进验收清单。
这会直接导致系统复杂度和成本上升,比如调用链变长、延迟增加、算力消耗提高。但在ToB场景中,可解释性往往比极致效率更重要。能不能说清楚发生了什么,开始成为比跑得快不快更重要的指标。
第三种转向,则是从"自动化"到"半自动化"。
在很多核心业务场景中,企业并未选择让Agent全自动执行,而是采用"建议+人审+执行隔离"的模式。AI给出决策建议,人类完成最终确认,关键操作与生产系统隔离。这种模式显然拉长了流程,也限制了调度规模,但它符合当前企业对风险的容忍度。
在这一阶段,安全的作用不再是提升拦截率,而是防止系统失控。也正是在这样的实践中,企业逐渐形成了清晰的内部分层。边缘业务可以容忍更多不确定性,安全要求相对靠后;核心业务必须安全前置,且允许的自动化程度明显更低。
值得注意的是,这种分层并非一成不变。随着安全能力的成熟、治理经验的积累,部分原本需要人工介入的环节,可能会逐步放权给AI。
从这个角度看,AI时代的安全,已经不再是"有没有"的问题,而是"管到什么程度"的问题。通过限制数据、收紧权限、引入审计,把不可避免的风险控制在企业可以接受的范围之内。这种安全实践的深化,不仅改变了企业自身对AI治理的路径,也使得整个产业对AI安全的认知正在发生根本性转向。
写在最后:
可以预见,在相当长的一段时间里,AI安全都不可能靠一次性方案彻底解决。
在此过程中,企业对AI的使用会持续分化,即边缘业务更看重效率和产出,而核心业务则会保持长期审慎。自动化不会简单地"一步到位",而是围绕权限控制、审计机制和责任边界逐步推进。AI的能力会不断增强,但它被允许自主决策的空间,并不会必然同步扩大。
对安全产业来说,这同样是一轮长期调整。单纯依赖事后检测的价值将持续下降,能够参与系统设计、权限治理和运行约束的能力,反而会变得越来越关键。安全不再只是一个独立产品,而更像是AI系统运行的前提条件。
从这个角度看,AI是否真正大规模进入核心业务,关键不在于模型能力又提升了多少,而在于一旦出现问题,系统能否被及时停下,过程能否被追溯,责任能否被清晰界定。
在这些问题解决之前,安全都会是AI落地过程中最现实、也最难绕开的门槛。
最新视频号内容推荐
▼
▼
产业AI大模型
产业数字化
产业SaaS
产业供应链
产业硬科技
© 往期回顾
▼
产业家网全新上线
© THE END
本文由产业家原创出品,未经许可,请勿转载。
/
欢迎爆料
▼
产业家报道联系微信号:15201450756
登录后才可以发布评论哦
打开小程序可以发布评论哦