调查：AI安全明显滞后，仅13%的企业部署了专门防护措施

AI快速发展，AI安全却明显滞后。随着影子AI激增以及混合云架构日益复杂，当前安全团队在技能和工具方面存在明显短板，可能影响企业AI项目的顺利推进。

安全内参6月18日消息，云安全公司Wiz最新调查显示，尽管近九成组织已在云端使用AI服务，但部署专门AI安全控制措施的却不到七分之一。报告指出，随着影子AI激增以及混合云架构日益复杂，当前安全团队在技能和工具方面存在明显短板，可能影响企业AI项目的顺利推进。

Wiz在上周发布了《AI安全准备度：来自100位云架构师、工程师和安全主管的见解》。该报告基于Gatepoint Research于2024年末开展的调查结果，调研对象包括100位云计算专业人士，涵盖架构师、工程师、安全主管及高管，涉及96家来自多个行业的不同组织。

AI应用推进迅速，

安全专业能力难以跟上

报告数据显示，87%的组织已在使用OpenAI、Amazon Bedrock等AI服务。然而，有31%的受访者将“缺乏AI安全专业知识”列为他们面临的最大挑战，这一问题也是被提及次数最多的。

图：您所在组织面临的首要AI安全挑战是什么？

报告指出：“安全团队正被要求保护一些他们并不完全了解的系统，这一技能缺口正在不断扩大企业的风险暴露面。”在弥补这一差距之前，工具和自动化能力被认为至关重要。

传统安全手段仍占主导地位

目前，仅有13%的组织使用AI专属安全态势管理（AI-SPM）工具。相比之下，大多数组织依然依赖适用于传统环境的控制手段：

• 安全开发实践：53%
• 租户隔离：41%
• 通过审计识别影子AI：35%

图：您正在采用哪些策略来管理AI安全风险？

尽管这些措施依旧具有重要意义，报告强调，它们并未针对AI系统的独特风险进行设计，例如模型横向访问、训练数据中毒以及未受监控的生成式API使用。

云架构日益复杂，

风险上升，可视性减弱

混合云与多云部署已成为常态。调查显示，45%的组织运行在混合云架构下，33%采用多云架构。但仍有70%的受访组织主要依赖CDM端点检测与响应（EDR）平台，这类工具本是为集中式架构设计。

以下表格总结了受访组织的云架构分布情况：

与此同时，有25%的受访者坦言，他们并不清楚当前环境中运行了哪些AI服务。

AI安全需求已超越技术范畴

调查显示，组织对AI安全工具的核心诉求，反映出更广泛的运维与工作流程需求：

• 69%的受访者将数据隐私视为首要需求
• 62%关注威胁的可视性
• 51%要求工具易于集成

图：您所在环境中目前运行的AI服务和技术有哪些？

报告指出，难以与DevOps工作流集成，是AI安全工具推广面临的主要障碍。同时，去中心化、实验性质的AI开发模式也制造出传统安全体系难以覆盖的盲区。

AI安全成熟度模型

Wiz将AI安全准备度纳入其更广泛的云安全成熟度框架，定义了对应于五个云安全发展阶段的四个AI安全成熟阶段：

图：云安全成熟度框架

报告指出，目前大多数组织仍停留在第1或第2阶段。

弥合差距的关键建议

为推动转型，报告向IT与安全团队提出了以下关键行动建议：

• 借助工具持续发现AI模型及影子服务
• 将安全“左移”，从软件开发生命周期早期就介入
• 确保安全策略能够在多云与混合环境中随工作负载迁移
• 为安全团队提供专门的AI安全培训

报告总结指出：“安全不能只是被动响应，必须持续推进，积极应对。”

参考资料：virtualizationreview.com