郭震 AI公众号:郭震AI

实时 AI 消息

DigiCert调查:半数企业遭遇AI代理安全事件,部署速度远超治理能力

DigiCert对美英澳1001名IT与网络安全负责人的调查显示,50%的受访企业在过去六个月内经历了因AI代理未授权或配置不当导致的安全事件。尽管90%的组织已在领导层讨论AI治理,但仅有半数拥有正式治理预算和项目。

发布时间

全球数字证书管理机构DigiCert最新发布的调查报告揭示了一个严峻的现实:AI代理在企业中的快速部署正在制造一个日益扩大的安全真空。调查覆盖美国、英国和澳大利亚的1001名IT与网络安全负责人,结果显示50%的受访企业在过去六个月内发生了直接源于未授权或配置不当的AI代理的安全事件。

更广泛的数字同样令人警觉。近八成(78%)受访者表示其组织在此期间遇到了某种形式的AI相关安全问题,其中28%发现了漏洞但未造成实际损失,而50%经历了实际的破坏或业务中断。从行业分布看,科技类企业的事故率最高,其次是银行与金融服务、电信与媒体、以及零售业。

DigiCert产品高级副总裁Brian Trzupek在向The Deep View平台分析该调查结果时指出,AI代理带来了与传统终端截然不同的身份管理难题。它们以机器速度自主运行,但大多数企业尚未对它们应用已经要求人类用户、联网设备和企业应用必须具备的身份认证、权限验证和审计追踪控制。

调查进一步列出了企业面临的主要攻击向量,包括提示注入攻击、数据投毒、对敏感系统的未授权访问,以及无法追溯特定输出来源于哪个模型。最后一点的操作影响尤为深远:近半数受访者表示对AI系统的决策过程缺乏或仅有有限的可见性,这使事后调查变得极为困难。

治理差距在部署数据面前显得更加刺眼。在相同的六个月窗口内,75%的组织部署了四个或更多的AI驱动系统,超过三分之一(35%)部署了十个以上。每增加一个模型或代理集成,攻击面都在扩大,而对应的控制层却未必同步建立。

虽然90%的组织表示已在领导层层面讨论AI治理,但行动远未跟上讨论的步伐。仅有一半的企业拥有专门的治理预算和正式项目。值得注意的亮点是,86%的受访者表示已建立某种流程(无论正式还是非正式)用于在AI系统受损后撤销其访问权限。但在Trzupek看来,没有治理,组织就无法回答四个基本问题:什么AI在运行、它能访问什么、由谁负责、以及当它失败时该怎么做。

为什么重要

这份调查以具体数据量化了企业AI安全风险——50%的事故率是董事会和安全团队都无法忽视的数字。AI代理正以远超治理体系建设的速度进入生产环境,身份管理与审计追踪的缺失将成为未来12个月企业安全投资的核心方向。

微博邮件

DigiCertAI AgentSecurityEnterpriseGovernance
返回实时消息

附近消息

全部