调研机构凯捷研究院(Capgemini Research Institute)近期针对全球范围内13个国家的1000家组织开展了一项深入调查。结果表明,90%以上的组织在过去一年中至少经历过一次网络安全漏洞事件,这一比例与2021年的51%相比有了显著的增长。
调查还发现,在过去一年中,97%的受访组织至少经历过一次与GenAI相关的安全漏洞攻击事件。这份名为《新防御、新威胁:AI与GenAI对网络安全的影响》的研究报告揭示了AI和GenAI在网络安全中日益重要的作用,同时强调了在采用这些技术过程中存在的重大漏洞。
GenAI应用风险凸显:网络安全漏洞与经济损失齐增
这项调查于2024年5月开展,涵盖了亚太、欧洲和北美13个国家的1000家组织。受访者来自银行、保险、能源、医疗保健和航空航天等多个关键行业领域,且这些组织的年收入均超过10亿美元。
凯捷网络安全、云基础设施服务全球主管Marco Pereira表示:“迄今为止,AI和GenAI的应用被证明是一把双刃剑。虽然它们带来了前所未有的风险,但组织也越来越依赖AI来更快、更准确地检测网络安全事件。AI和GenAI为他们的安全团队提供了强大的新工具,以缓解这些事件并推动防御策略的革新与升级。”
超过90%的受访者表示,在过去一年中至少遭遇了一次网络安全漏洞事件,与2021年的51%相比,这一数字大幅上升。其中近一半的组织估计,在过去三年中由于漏洞事件导致的财务损失超过5000万美元。数据泄露事件的频发与GenAI的应用呈现出同步增长的态势,而这些先进技术正逐渐沦为恶意行为者的攻击工具。
该报告指出了采用GenAI所带来的多重风险,例如数据中毒、敏感信息泄露以及深度伪造技术的滥用。约67%的组织对这些问题表示担忧,而43%的组织报告因涉及深度伪造内容的安全事件而造成了直接的经济损失。
此外其他漏洞也不容忽视,例如AI系统可能产生错误或误导性的输出(这一现象被称为“幻觉”)、生成有偏见的内容,以及提示注入攻击等。员工对GenAI的不当使用加剧了这些挑战,不仅扩大了组织的攻击面,还增加了防御策略的复杂性。
利用AI与GenAI强化网络安全,检测与投资策略并行
尽管存在潜要风险,但组织仍在积极利用AI和GenAI来加强其网络安全框架。超过60%的受访者表示,AI使他们的威胁检测时间缩短5%以上,而40%的受访者表示响应时间也有类似的改善。
五分之三的组织认为AI对于有效检测威胁和做出响应至关重要。同样比例的组织预计,GenAI将通过实现更快识别和缓解复杂威胁,进一步增强其长期网络安全战略。
日益严峻的威胁态势促使59%的组织考虑增加网络安全预算,他们重点投资于先进的数据管理系统、云计算资源和针对AI的风险缓解战略。
凯捷的报告强调了采用GenAI带来的三个主要风险领域:日益复杂的网络攻击、不断扩大的攻击面,以及自定义GenAI解决方案在整个生命周期中的漏洞。有效应对这些挑战对于保持强有力的安全态势至关重要。
管理GenAI风险的建议
该报告概述了组织可以采取的几种安全措施,以平衡GenAI带来的好处与相关风险。这些措施包括实施先进的数据管理系统以保护敏感信息、制定健全的治理政策以确保合乎道德地使用AI,以及为员工提供有关AI特定网络安全风险的培训。
此外,凯捷还强调了持续重新评估安全框架以适应不断变化的威胁的重要性。通过采用这些策略,组织可以在利用AI和生成式AI的变革潜力的同时,缓解新兴的安全漏洞。
谷歌云研究人员最近也警告称,随着威胁行为者越来越多地利用基于AI的工具来推进其恶意活动,2025年的网络攻击可能呈现更为严峻的态势。谷歌云在其《2025年网络安全预测》报告中预测,威胁行为者将使用AI和LLM来策划并实施更复杂的网络钓鱼攻击、短信诈骗以及其他社会工程学欺诈手段。