当 AI 开始真正“工作”，安全才是那个被遗忘的 ROI 前提

先看几组数据。今年3月，中国日均Token调用量已突破140万亿，两年增长了超过千倍。有观点认为，围绕Token的调用、分发和结算，一套全新的价值体系正在加速成型。与此同时，OpenAI将Codex、ChatGPT与浏览器产品打包成一个统一超级应用，把AI编程智能体直接推向大规模企业场景。目前Codex的周活跃用户已超过500万，其中40%是非开发者——分析师、投资经理、营销人员正在大量涌入。

这背后是一个关键转变：AI正从“聊天时代”加速进入“执行时代”。过去两年，ChatGPT解决的是“回答你问题”的需求；而Codex的目标是“替你完成工作”。一个告诉你答案，另一个把事情做完。当AI智能体能够自主读取代码库、调用工具、修改数据库记录、发起工作流，语言本身已经变成了可执行的指令。换句话说，AI正在成为贯穿企业的新型执行层。

烧Token容易，ROI难算，但安全成本被遗忘了

Token消耗量爆发式增长，随之而来的是一轮关于ROI的集体反思。一组令人警醒的数字浮现出来：企业每在AI Token上花1美元，其中0.44美元用于修复AI生成的Bug，0.27美元用于重写AI产出的代码，隐性损耗接近80%。全球只有14%的CFO表示能清晰看到AI投资的回报。Uber四个月花光了全年AI Token预算，微软悄悄停止为大部分员工购买AI编程工具许可，硅谷大厂纷纷开始限制员工Token用量……这场烧钱竞赛，正在回归理性。

企业开始追问：这钱到底花得值不值？

这当然是一个必要的追问。但在这一轮成本审视中，有一项支出几乎从未被纳入计算——安全。

当AI智能体深度嵌入企业工作流，它触及的不只是效率，还有数据、权限和业务决策。一次提示词注入攻击导致敏感数据外泄，一次智能体越权操作引发业务流程失控，一次AI输出被操控造成客户损失……这些风险带来的代价，可能远超企业节省的Token费用。

安全不是锦上添花的尾款，而是ROI能够成立的票钱。

执行时代的安全挑战，传统架构无法覆盖

问题的根源在于，AI引入了一种传统安全架构从未被设计来应对的新型风险模式。

过去，企业的安全边界相对清晰：防止用户失误，防止外部攻击者入侵。而当AI智能体获得访问数据、调用工具、触发工作流的能力，安全团队需要回答的问题已经变成了：AI系统被允许做什么？它的行为是否与业务意图一致？一次工具调用是否在正确的时间、以正确的理由发生？

Check Point《2026年云安全报告》印证了这一困境：77%的企业已针对AI更新了安全策略，但只有26%表示具备执行这些策略的架构能力。超过半数的企业已发生AI相关安全事件，更多企业甚至缺乏足够的可视性来判断事件是否已经发生。仅有17%的企业广泛部署了运行时大语言模型管控。

差距的根源在于架构层面的碎片化。某个团队管理员工AI使用，另一个团队负责AI应用安全，还有一个团队审查模型——各自只看到图景的一部分，没有人能看到AI工作流的完整执行路径。从用户的一条提示词，到模型的一次输出，到智能体的一次工具调用，再到最终触发的业务操作，AI风险恰恰沿着这条路径流转。

AI Defense Plane：为执行时代而设计

面对这种挑战，Check Point给出的答案是统一的安全架构，而不是在现有体系上叠加更多单点工具。

AI Defense Plane的思路，是围绕企业AI风险的三个来源进行治理：使用AI工具的员工、将AI嵌入工作流的应用，以及自主访问数据和调用工具的智能体。企业需要构建协同管控模型，覆盖发现、保护、治理和保障四项核心能力。

首要解决的是可视性：AI在哪里被使用、什么数据流经它、它能在哪里行动？保护则需要在运行时介入：拦截提示词注入、阻止敏感数据外泄、管控违反策略的工具调用。治理确保策略能够跨用户、应用、智能体和环境一致执行，而不是停留在文件层面。最后，安全保障要求持续测试AI系统和管控措施的实际表现——因为AI行为随模型更新、工具变化和工作流调整而持续演进，一次性部署远远不够。

这套架构的核心逻辑是：安全必须在运行时发挥作用，在AI行为被决定的地方介入，而不是在损失发生后再去响应。一个提示词可以导向一次工具调用，一次工具调用可以修改数据，一条被修改的记录可以触发另一个工作流——等到告警被审查时，操作可能已经完成。

在日均Token消耗突破140万亿的当下，AI执行层正在以前所未有的速度嵌入企业的每一个工作环节。这个规模意味着效率，也意味着风险敞口在同等速度下扩张。在这场Token经济的浪潮中，能够真正算清ROI的企业，一定是那些把安全纳入AI架构基础之中的企业——而不是在事故发生后，再来补算安全缺失的代价。