IBM报告:13%企业曾遭AI安全漏洞 访问控制管理普遍不足
全球数据泄露的平均成本已降至444万美元,但美国企业的情况却截然相反——其相关损失不降反升,突破1022万美元大关。更值得关注的是,在经历过数据泄露的企业中,仅有不到一半(49%)计划在未来增加安全投入。
IBM最新发布的《2025年数据泄露成本报告》揭示了一个关键趋势:企业AI应用的快速发展已远超其安全治理体系的建设速度。该报告首次聚焦于AI系统的安全防护、治理与访问控制。尽管样本中明确遭遇AI相关安全漏洞的机构比例尚不算最高,但一个清晰的信号已经显现:AI正迅速成为高价值、低门槛的网络攻击新目标。
具体数据显示,13%的受访企业明确报告了AI模型或应用的安全漏洞,另有8%表示“不确定”是否遭遇过。而在已遭受攻击的企业中,一个令人震惊的事实是:高达97%的机构尚未部署任何AI访问控制机制。安全防护的缺失直接导致了严重后果——60%的AI安全事件最终演变为数据泄露,另有31%引发了业务中断。
今年的调研结果指向一个核心矛盾:许多企业为抢占AI先机,选择绕过或忽视安全治理。然而,缺乏监管的AI系统不仅更易被攻破,其造成的损失也往往更为严重。
对此,IBM安全和运行时产品副总裁Suja Viswesan明确指出:“数据表明,AI的应用与监管之间已出现显著断层,而网络攻击者正在利用这一空隙。报告显示,企业的AI系统普遍缺乏最基本的访问控制,这无异于将敏感数据和核心模型暴露在外。随着AI更深地融入业务核心,其安全防护必须提升至最高优先级。无所作为的代价,远不止经济损失,更是用户信任、透明度与控制力的全面丧失。”
当然,报告也带来了积极信号:那些在安全运营中广泛采用AI与自动化技术的企业,获得了切实收益。它们的平均数据泄露损失减少了190万美元,事件处理周期平均缩短了80天。
这份由Ponemon Institute执行、IBM赞助的报告,基于2024年3月至2025年2月期间全球600家机构遭遇的数据泄露事件进行分析。其中,关于AI安全漏洞、经济损失及业务中断的关键发现,为我们勾勒出AI时代的安全新挑战。
AI时代的安全漏洞
AI治理政策:在遭遇过数据泄露的机构中,63%要么尚未建立AI治理政策,要么政策仍处于早期阶段。即便在已制定政策的机构中,也仅有34%会定期对非授权AI工具的使用进行审计。
影子AI的代价:“影子AI”(即在监管之外使用的AI工具)正成为新的风险源头。五分之一的企业承认,曾因影子AI导致数据泄露,但只有37%的企业制定了相应的管理或检测政策。与影子AI使用率低的企业相比,使用率高的企业平均数据泄露成本高出67万美元。更严重的是,涉及影子AI的安全事件,导致个人身份信息(65%)和知识产权(40%)泄露的比例,远高于全球平均水平(分别为53%和33%)。
AI驱动的智能攻击:攻击者同样在利用AI技术。研究显示,16%的数据泄露事件涉及AI工具的使用,主要被用于网络钓鱼或借助深度伪造技术发起更精准的攻击。
数据泄露的经济损失
数据泄露的成本:全球数据泄露平均成本降至444万美元,这是五年来的首次下降。然而,美国企业却逆势上扬,平均泄露成本创下1022万美元的历史新高,凸显出地区间的显著差异。
全球泄露处理周期创新低:随着更多企业具备内部漏洞检测能力,全球平均泄露处理周期(从识别漏洞到控制事态、恢复服务)缩短至241天,比上年减少17天。一个关键发现是:相比漏洞被外部攻击者揭露的机构,通过内部检测自行发现漏洞的企业,平均能减少90万美元的损失。
医疗行业泄露成本仍居首位。尽管医疗行业的数据泄露成本较2024年下降235万美元,但其742万美元的平均损失仍在所有调研行业中位居榜首。该行业的漏洞识别与控制周期长达279天,比全球均值多出5周以上,恢复难度可见一斑。
勒索支付被更多企业抵制。积极的一面是,企业拒绝支付赎金的比例在上升,去年有63%的机构选择拒付(2024年为59%)。但另一方面,尽管抵制者增多,勒索软件事件的平均成本依然居高不下——尤其是当漏洞由攻击者主动披露时,平均损失高达508万美元。
AI风险攀升下的安全投入增长乏力。一个值得警惕的信号是:计划在数据泄露后增加安全投入的企业比例在2025年显著下降,从2024年的63%骤降至49%。而在仍计划追加投入的企业中,将资源投向AI驱动安全方案或服务的机构,竟然不足半数。
数据泄露的长尾效应:运营中断
根据报告,数据泄露的直接影响几乎无一例外——几乎所有受访企业都遭遇了运营中断。这种中断严重拖累了恢复进度,在报告恢复情况的企业中,大多数平均耗时超过100天。
然而,数据泄露的“长尾效应”远不止于此。尽管比例同比有所下降,但仍有近半数企业计划因泄露事件提高其商品或服务价格,其中近三分之一的涨价幅度达到15%甚至更高。最终,这部分成本很可能转嫁给消费者。
关于《数据泄露成本报告》
过去20年里,《数据泄露成本报告》累计调研了近6500起数据泄露事件。自2005年首次发布以来,数据泄露的本质已发生深刻变化:早期的风险主要来自实体设备的丢失,而如今,网络攻击已全面数字化、精准化,每一次泄露的背后,都可能是一系列更复杂的恶意活动链条。
随着企业AI应用的全面加速,本年度的报告首次深入审视了几个关键领域:AI安全防护与治理的现状、AI安全事件中的目标数据类型、AI驱动型攻击的关联损失,以及影子AI的泛滥程度与风险特征。回顾历史,我们能更清晰地看到威胁的演变轨迹:
2005年:近半数(45%)数据泄露由笔记本电脑或U盘丢失引发,仅10%源于电子系统遭入侵。
2015年:云环境的配置错误尚未被列为独立威胁类别,而如今它已成为攻击者的主要目标之一。
2020年:勒索软件攻击开始激增,到2021年,其关联泄露的平均成本已达462万美元,而到了2025年,这一数字(在事件由攻击者披露的前提下)攀升至508万美元。
2025年:本年度首次纳入深度研究的AI安全领域,正以超乎想象的速度,成为攻击者眼中价值连城的新目标。
相关攻略
全球数据泄露的平均成本已降至444万美元,但美国企业的情况却截然相反——其相关损失不降反升,突破1022万美元大关。更值得关注的是,在经历过数据泄露的企业中,仅有不到一半(49%)计划在未来增加安全投入。 IBM最新发布的《2025年数据泄露成本报告》揭示了一个关键趋势:企业AI应用的快速发展已远超
IBM与美国商务部签署意向书,计划建造美国首个量子晶圆代工厂。新成立的独立子公司Anderon将获得来自《芯片法案》的10亿美元激励资金以及IBM匹配的10亿美元投资,旨在掌控量子芯片制造能力。该工厂位于纽约州,采用300毫米先进工艺。行业预测,到2040年量子产业经济价值可能高达8500亿美元,此
近日,IBM在2026存储战略沟通会上正式发布了全新一代FlashSystem存储产品线。此次升级的核心目标,是将传统存储系统转型为“AI赋能的智能存储平台”。通过集成自研的第五代FCM闪存模块与名为FlashSystem ai的智能管理引擎,新系统致力于以自动化与智能化的方式处理数据保护、性能优化
昨日,新紫光集团在其年度创新峰会上,集中展示了在算力基础设施、高速互联、智能存储及先进芯片设计等多个核心领域的最新战略布局与技术突破。经历重整后轻装上阵的科技巨头,正清晰勾勒出一条以架构创新驱动差异化发展的路径。 集团董事长李滨在主题演讲中明确,新紫光已确立芯片设计制造、ICT(信息与通信技术)基础
IBM 发布全新 AI SSD:60 秒内检测并清除勒索软件 最近,IBM公司发布了一条引人瞩目的消息,正式推出了新一代的FlashCore Module存储硬盘以及升级版的Storage Defender软件。这两者搭配在一起,能显著增强客户侦测并抵御网络攻击或勒索软件的能力,相当于给企业的核心数
热门专题
热门推荐
随着人工智能大模型与机器视觉技术的深度融合与产业升级,一个根本性的挑战愈发关键:底层视觉数据基础设施的能效水平,直接决定了上层AI应用的成本边界与识别精度的上限。近期,Robo ai (NASDAQ: AIIO) 旗下专注于AI基础设施的Neurovia AI,在第九届国际安全与国家风险防范展(IS
数字货币成功变现需掌握关键技巧:理解市场动态与主流币种联动,选择安全高流动性平台,制定明确风险目标和交易策略,严格执行止损与分散投资。市场持续变化,保持学习与适应能力是长期稳健交易的基础。
618购物节是电竞玩家升级装备的良机。华硕TUFGaming系列的战杀27与小金刚显示器凭借FastIPS面板、高刷新率、精准色彩及丰富电竞功能,以高性价比满足不同玩家对帧率与画质的追求,成为热门选择。
移动端二战空战游戏以机械浪漫与硬核操作吸引玩家。多款作品各具特色:或精细还原战机与基地经营,或重现太平洋战场任务,或融合弹幕射击与昼夜战术,或侧重战机收集养成,或提供割草式爽快体验。它们以历史氛围带玩家重返决定历史的天空。
《和平精英》中,“安V收车币”作为一种新兴交易方式,为玩家获取稀有车辆皮肤提供了安全便捷的渠道。它满足了玩家个性化需求,提升了游戏体验与沉浸感。参与交易需选择正规平台,合理规划消费并遵守官方规定,以保障自身权益。这一模式活跃了游戏经济,丰富了玩家的资源选择。