文 | 产业家
AI 是否真正大规模进入核心业务,关键不在于模型能力又提升了多少,而在于一旦出现问题,系统能否被及时停下,过程能否被追溯,责任能否被清晰界定。在这些问题解决之前,安全都会是 AI 落地过程中最现实、也最难绕开的门槛。
攻击一旦被 AI 变成一种“ 产能”,攻防关系面临的则是结构性失衡。
这种变化已经开始在现实中显现。
12 月 22 日 22 时,快手遭遇大规模黑灰产攻击,监测数据显示峰值时段约有 1.7 万个被控僵尸账号同步开播推送色情低俗内容。事实上,攻击手法并不新奇,真正改变战局的是 AI 带来的“ 杠杆效应”,即在 AI 的加持下,攻击成本降到极低,攻击效率反而被成倍放大,防守方的响应能力首次被压制在对手之下。
这并非孤立事件。一组来自 OECD 的 AI 事件监测数据显示,2024 年的 AI 风险事件总数约是 2022 年的 21.8 倍,2019‑2024 年间记录的事件中约 74% 与 AI 安全相关,安全与可靠性事件较 2023 年增长 83.7%。
在这种背景下,安全的逻辑正在被迫重写。
过去,企业在选择大模型或 Agent 服务商时,性能、价格、生态几乎天然排在最前面,安全更多被视为一种事后补救能力。但在一轮又一轮实战之后,越来越多企业开始意识到,一旦将业务流程、用户触点乃至决策权交给 AI,安全就不再是“ 事后诸葛亮” 的选项,而是必须前置到选型阶段。
而这场微妙的反转,正在倒逼企业重新排序与 AI 相关的所有决策优先级。一组来自阿里云与 Omdia 联合发布 AI 安全报告显示,企业将安全与数据隐私视为 AI 主要障碍的比例,从 2023 年 11% 激增至 2024 年 43%。
安全,第一次从“ 可选项” 变成了 AI 能否落地的前置条件。
一、从探索到深水区,AI 安全成为落地前提
2025 年,企业对“ 安全” 的敏感度正迅速放大。
进入 2025 年,AI 已从技术探索阶段迈入企业业务的深度应用场景。麦肯锡 《ThestateofAIin2025》 报告显示,88% 的受访企业表示已在至少一个业务职能中使用 AI 技术,比去年整整高出了 10 个百分点。
而随着 AI 使用范围和能力的迁移,企业对安全的敏感度正在迅速放大。要知道早期的 AI 应用多停留在撰写文案、内容生成及简单数据分析等辅助性场景,这类应用即便出现误判或偏差,对业务本身的损害有限。但是随着 AI 加速落地,其开始被赋予更强的权限,例如读取业务数据、调取内部系统、参与流程决策等。
Gartner 预测,到 2028 年 33% 的企业软件将包含 AI 代理功能,可自主完成 15% 的人类日常工作决策,权限扩张带来的风险敞口持续扩大。
在这种背景下,AI 一旦失控,就不再是一个输出错误那么简单,而可能会直接暴露敏感数据或影响生产与交易流程。
这种担忧并非空穴来风。一家来自 HarmonicSecurity 的分析显示,在 2025 年二季度,企业使用的各类 GenAI 平台中,超过 4% 的对话、20% 以上的上传文件都包含敏感企业数据。这意味着一旦管控不到位,风险会在日常使用中被持续放大。
也正因为如此,安全不再是可有可无的选项。根据赛博研究院发布的 《2025 全球可信 AI 治理与数据安全报告》 显示,模型的准确性与稳定性是企业最看重的因素,紧随其后的便是占据 79% 数据使用的合规性与隐私保护、和占据 54% 的总拥有成本与投资回报比。安全,正在被主动前移到项目启动和技术选型阶段,成为企业 AI 落地的关键前提。
这一点,已经成为头部企业的共识。
一则全球 16 家头部 AI 企业签署的“ 前沿人工智能安全承诺” 中,明确提出“ 开发和部署前沿 AI 模型和系统时需有效识别、评估和管理风险,设定不可容忍风险的阈值”,印证了安全已成为行业共识的核心指标。
这种风险感知,具体还体现在企业选择合作伙伴和推进项目的实际流程中。
例如,一家大型制造企业 IT 负责人向产业家透露,过去只要模型在试点阶段跑通业务场景,就可以进入下一阶段评估。但在最新一轮 Agent 能力测试中,该企业要求测试包括提示注入、越狱风险、越权调用等负面测试用例,否则该方案直接无法进入评审环节。
再比如,有证券行业的 CIO 在内部邮件中明确要求:AI 平台必须支持企业私有部署或 VPC 隔离,并禁止任何业务数据用于第三方训练,否则不予进入第二轮评估。这一类条款的出现,反映出企业在第一阶段,就开始把数据安全和访问控制,作为了筛选供应商的核心条件。
可以发现,安全不再是一个孤立的成本中心,而是决定 AI 能否被广泛采纳、可信赖运营的核心条件。更重要的是,安全也正成为企业生态中信任的最重要货币。在合作伙伴选择、行业合作框架、客户合同谈判中,AI 安全保障已经成为谈判桌上的核心条款之一,甚至直接影响合同签约与商业合作成败。
在这其中,谁能在效率红利与安全红线之间找到更稳妥的平衡,谁才有资格在下一阶段的 AI 竞争中真正跑在前面。
二、安全“ 前移”AI 选型,正在改变安全竞争格局
在 2025 年,国内首次进行了 AI 大模型实网众测,发现了 281 个安全漏洞,其中大模型特有漏洞 177 个,占比 63%。这些漏洞包括提示注入、越狱攻击、对抗样本等传统安全体系无法覆盖的威胁类型。
传统安全厂商的策略,已经无法承受 AI 时代的新攻击手段。
随着 AI 技术的普及彻底改变了网络攻击的底层逻辑。安全厂商要做的事情越来越多,但价值越来越难量化。但这不是厂商能力的问题,而是产业结构转向责任共担。这对产业的影响是深刻的。一方面,安全能力将不可避免地被“ 内嵌化”,融入云平台、模型底座、业务系统,独立交付的空间被不断压缩;另一方面,安全厂商如果无法提供治理层面的价值,就会被边缘化为某种可替换能力模块。
而想要避免成为被内化的那一个,则必须让自己成为系统运行过程中绕不开的一环。
以 360、奇安信、深信服、绿盟科技为代表的传统网络安全厂商,整体策略并非推倒重来,而是将 AI 视为能力增强器,选择在既有安全产品与平台中嵌入大模型能力。
以 360 为例,其在 2023 年正式发布“AI 原生安全大模型”,宣称基于超过 40PB 的安全样本数据、数十年攻防对抗经验,用于 APT 攻击检测、威胁情报自动挖掘和安全事件研判。据其披露,在 APT 告警去重和误报压缩方面,模型辅助分析可将人工分析成本降低 50% 以上。
这一路径的优势非常明显。根据赛迪顾问数据,中国政企网络安全市场中,头部厂商在政府、金融、能源等行业的存量覆盖率普遍超过 60%,可以说传统厂商牢牢掌控政企安全入口。
与传统厂商不同,阿里云、腾讯云、百度智能云等云服务商选择从基础设施与平台层入手,将安全能力直接“ 内建” 到 AI 的全生命周期中。
在实际落地上,这类厂商普遍在模型托管、推理调用、插件接入、Agent 编排等环节,默认启用安全控制策略,并将身份、权限、数据、模型版本与 AI 使用过程进行强绑定。例如阿里云在其大模型服务平台中,将 API 调用鉴权、Prompt 审计、RAG 数据访问权限作为默认能力;腾讯云在企业大模型平台中,将模型调用与企业 IAM、日志审计、数据分级打通;百度智能云则在 Agent 构建框架中限制外部工具调用权限,降低模型“ 越权执行” 风险。
这类厂商由于安全能力被嵌入到主路径中,其边际成本几乎为零。尤其在 Prompt 注入、RAG 检索污染、Agent 工具滥用等新型攻击面上,平台级约束明显比事后检测更具规模效率。
另一类重要玩家,是聚焦细分场景的垂直安全厂商。以数美科技为例,其长期深耕内容安全、反欺诈、黑产行为建模。在生成式 AI 场景下,数美将原有的风控模型迁移至 AI 滥用治理中,用于识别恶意 Prompt、自动化诈骗脚本生成、虚假内容批量生成等行为。据公开案例,其在部分社交与内容平台中,AI 滥用识别的命中率已高于 90%。
这类厂商的优势在于专业能力聚焦,模型对抗经验深。能高风险场景中提供不可替代价值。
近年来,也有一批原生 AI 安全厂商正快速崛起。这类公司并非从传统安全体系演进而来,而是直接聚焦模型本体与智能体层,从设计阶段降低风险。这类厂商通常技术迭代快、对新型对抗攻击高度敏感,在模型级安全上具备先发优势。
综合来看,在生成式 AI 的持续压力下,安全产业的分工正在重排。不同位置的厂商,正从各自的切口出发,共同托起一套亟需重构、尚未定型的“ 新安全体系”。
三、AI 安全的能力边界:无法“ 清零”,只能“ 控损”
当安全被推到 AI 选型的前台,一个绕不开的问题也随之浮现:安全是不是越强越好?是否存在足够安全?
答案并不乐观。OpenAI 曾在公开研究中给出过一组判断:在 AI 浏览器、Agent 等场景中,提示注入属于结构性风险。即便持续加固,安全系统也无法做到 100% 拦截,最优状态,最优防护仅能将攻击成功率压至 5%-10%。
这一点,在数美科技 CTO 梁堃的判断中同样明确:“ 当前实现对黑灰产的百分之百阻断,并不现实。”
不过,需要澄清的是,并非所有 AI 场景都把安全放在第一位。
在大量探索性与边缘业务中,企业依然会选择效果优先。例如内部知识助手、营销内容生成、数据分析 Copilot,这些场景要么不接触敏感数据,要么不具备执行权限,即便模型出现偏差,风险也相对可控。在这些场景中,企业更关心的是投入产出比,而非安全治理的完备性。
真正发生转折的,是 AI 开始进入核心业务链路之后。在涉及客户数据、交易决策、生产调度、风控审核等场景中,企业往往会迅速收紧策略,将安全前置为硬约束。
这种认知转变,直接带来了三种明显的使用方式变化。
第一种转向,是从“ 能跑” 到“ 能控”。
在安全前置后,企业普遍开始限制模型可触达的数据范围。原本可以全量接入的数据,被拆解为分级、分域、分场景使用;RAG 检索不再“ 全库召回”,而是限定在经过审核的知识集合中。这可能会导致模型在某些任务上的准确率可能下降,召回率受到影响,业务侧不得不投入更多精力进行数据治理与结构化整理。
不过,这并非技术倒退。对企业而言,宁愿牺牲部分效果,也不愿承担不可控风险。
第二种转向,是从“ 可用” 到“ 可审”。
随着 AI 被纳入正式生产环境,是否具备审计与留痕能力,成为一道关键门槛。Prompt 是否可追溯?模型引用了哪些检索内容?Agent 调用了哪些工具、在什么时间、以什么权限执行?这些原本属于工程细节的问题,开始被写进验收清单。
这会直接导致系统复杂度和成本上升,比如调用链变长、延迟增加、算力消耗提高。但在 ToB 场景中,可解释性往往比极致效率更重要。能不能说清楚发生了什么,开始成为比跑得快不快更重要的指标。
第三种转向,则是从“ 自动化” 到“ 半自动化”。
在很多核心业务场景中,企业并未选择让 Agent 全自动执行,而是采用“ 建议+人审+执行隔离” 的模式。AI 给出决策建议,人类完成最终确认,关键操作与生产系统隔离。这种模式显然拉长了流程,也限制了调度规模,但它符合当前企业对风险的容忍度。
在这一阶段,安全的作用不再是提升拦截率,而是防止系统失控。也正是在这样的实践中,企业逐渐形成了清晰的内部分层。边缘业务可以容忍更多不确定性,安全要求相对靠后;核心业务必须安全前置,且允许的自动化程度明显更低。
值得注意的是,这种分层并非一成不变。随着安全能力的成熟、治理经验的积累,部分原本需要人工介入的环节,可能会逐步放权给 AI。
从这个角度看,AI 时代的安全,已经不再是“ 有没有” 的问题,而是“ 管到什么程度” 的问题。通过限制数据、收紧权限、引入审计,把不可避免的风险控制在企业可以接受的范围之内。这种安全实践的深化,不仅改变了企业自身对 AI 治理的路径,也使得整个产业对 AI 安全的认知正在发生根本性转向。
写在最后:
可以预见,在相当长的一段时间里,AI 安全都不可能靠一次性方案彻底解决。
在此过程中,企业对 AI 的使用会持续分化,即边缘业务更看重效率和产出,而核心业务则会保持长期审慎。自动化不会简单地“ 一步到位”,而是围绕权限控制、审计机制和责任边界逐步推进。AI 的能力会不断增强,但它被允许自主决策的空间,并不会必然同步扩大。
对安全产业来说,这同样是一轮长期调整。单纯依赖事后检测的价值将持续下降,能够参与系统设计、权限治理和运行约束的能力,反而会变得越来越关键。安全不再只是一个独立产品,而更像是 AI 系统运行的前提条件。
从这个角度看,AI 是否真正大规模进入核心业务,关键不在于模型能力又提升了多少,而在于一旦出现问题,系统能否被及时停下,过程能否被追溯,责任能否被清晰界定。
在这些问题解决之前,安全都会是 AI 落地过程中最现实、也最难绕开的门槛。
更多精彩内容,关注钛媒体微信号 (ID:taimeiti),或者下载钛媒体 App