对于正在这条路上行走的每一家企业:现在,正是建立AI治理框架的最佳时机。不要等到事故发生,才开始寻找灭火器。让我们在拥抱AI的同时,也紧紧握住治理这根缰绳——在创新与安全之间,找到那个真正能让企业行稳致远的平衡点。

"速度决定未来,但失控的速度只会带来灾难。"

在数字化转型的浪潮中,人工智能如同一位不请自来的访客,悄然降临在无数企业的服务器机房、办公终端与云端协作平台之间。它改变着每一条业务流程、每一个数据接口、每一个普通员工触手可及的工作界面。然而,当我们迫不及待地张开双臂迎接这位"客人"时,是否曾停下脚步想一想——它或许正悄悄带走我们始料未及的东西?

图片

一组不容回避的数字

近日,苹果设备管理领域的领军企业Jamf发布了一项涉及687名IT与安全负责人的大规模调查报告。这份报告的数字,让很多安全从业者看后久久难以平静。

超过五分之一的受访者已因AI工具的使用蒙受了经济损失或遭受了网络攻击。而更令人警醒的规律在于:AI整合程度越深,安全事件的发生概率越高——然而治理能力,却堂而皇之地排在企业优先事项的第三位。

这不是某一家公司的孤例,也并非某一类行业的特殊困境。这是当下几乎所有正在拥抱AI的企业,都必须直面的共同命题。

浪潮之下,是一场集体性的冒险

数据显示,在接受调查的企业中,已有相当比例完成了AI应用的规模化部署,另有约两成正处于积极探索阶段。这意味着,整个企业数字化生态,正以超乎想象的速度被AI深度重塑。

表面上看,这是效率的革命:AI帮助员工撰写报告、分析数据、生成代码、自动客服……企业的生产力曲线以肉眼可见的速度上扬。然而,在这条曲线的背后,另一条曲线正在同步攀升——安全事故的发生率。

调查数据揭示了一个令人不安的正相关关系:那些已经深度整合AI项目的企业,安全事故发生率达到27.1%;而仍处于早期探索阶段的企业,这一数字仅为19.4%。两者之间差距约40%,且随着AI应用的成熟与扩展,这道鸿沟还在持续加深。

企业正在加速奔跑,冲入AI最深处的险境,却把本应握在手中的指南针——治理能力——随手搁置在了起跑线附近。

四道暗礁,潜伏在AI航道的深处

如果把企业的AI应用之路比作一段远洋航行,那么以下四大风险,便是潜伏在水面之下、肉眼难以察觉的礁群。

第一道暗礁:暗影AI——看不见的威胁最为危险

所谓"暗影AI"(Shadow AI),是指员工在未经授权、不受管控的情况下私自使用AI工具的行为。这类行为在职场中已相当普遍:员工为了提高效率,自行引入各类AI写作助手、代码补全工具、数据分析平台,甚至把公司的业务文件、客户数据上传到这些平台中进行处理。

当IT团队对"哪些AI系统正在企业内部运行"一无所知时,安全防护便成了无根之木。你无法保护你不知道存在的东西。试想一下,员工正用着未经任何安全审查的AI工具处理企业核心数据,等同于把公司保险柜的钥匙交给了一个身份不明的陌生人。

更为隐蔽的是,暗影AI并不总是以"野生工具"的形式出现。当一个AI功能悄然嵌入已获批准的办公套件,以软件更新的方式静默部署,IT部门甚至没有时间窗口对其进行数据安全评估——这类"合法外壳、未知内核"的AI功能,同样构成暗影AI的一部分。

第二道暗礁:代理型AI——拥有"写权限"的危险存在

AI代理(Agentic AI)的兴起,将风险带上了另一个维度。与传统AI工具不同,AI代理不仅能够"看"和"说",还能够"做"——它们被赋予了执行操作的权限,包括读写代码、访问数据库、调用API接口等。

当AI代理获得了代码写入权限后,它能够在无人监督的情况下,向生产仓库中悄然添加不安全的代码段,或删除关键的防护性代码。这种行为的危险性,往往比人工失误更为隐蔽,破坏后果也更难评估——因为它可能在数周甚至数月后,才以系统漏洞或数据泄露的形式暴露出来。

这就好比,有一位你不认识的"工程师",已经在你的核心业务系统中自由创作了许久,而你浑然不觉。

第三道暗礁:供应商泛滥——引入即意味着潜在入侵

随着AI能力被越来越多地嵌入主流企业软件产品——从ERP系统到CRM平台,从协作工具到开发环境——企业所依赖的AI供应商数量正在急剧膨胀。

问题的关键在于:这些AI功能往往并非独立采购,而是随现有产品的功能迭代悄然出现。IT与安全团队很难在每一款工具触达用户之前,完成对其数据安全能力的系统审查。当"批准使用"的时间点和"AI功能出现"的时间点存在错位,风险便已经在这段空档中悄然落地。

对于许多中大型企业而言,这意味着数十甚至数百个AI数据接口在没有经过统一评估的情况下同时运行。每一个接口,都是一扇可能被忽视的门。

第四道暗礁:成本失控——最容易被忽视的财务暗礁

AI工具大多采用按量计费模式,这使得成本问题往往被划归财务部门管辖,与安全团队的职责边界形成了天然隔离。

然而调查发现,许多企业既无法清晰说明自己究竟购买了哪些付费AI授权,也无法回答这些工具究竟产生了多少实际价值。安全团队盯着数据访问日志,财务团队盯着账单数字,两者之间存在巨大的信息真空地带——而这,恰恰是风险最喜欢生长的地方。

成本失控不仅仅是财务问题,它还意味着治理的缺位:一个你说不清楚有多少工具在运行的环境,就是一个说不清楚有多少风险在潜伏的环境。

治理的滞后:我们为何总是"跑得太快,想得太少"?

当受访者被问及首要优先事项时,答案耐人寻味:

  • "自动化IT管理":44.4%
  • "部署AI生产力工具":41.0%
  • "AI治理":36.7%,排名第三
  • "AI安全改进":更是落至第五位

这是一种集体性的认知偏差:在追求效率与生产力提升的道路上,企业的优先级清单里,安全与治理始终是"可以稍后再说"的事。

这种现象背后,有多重驱动力。业务部门的需求压力催促IT团队尽快落地AI工具;供应商的快速迭代让AI功能以"更新包"的形式自动进入企业环境;一线员工在使用便捷工具时,本能地绕过繁琐的审批流程。多重力量叠加,造就了今天普遍存在的"先上车后补票"困局。

而治理能力,永远处于追赶状态。

更令人担忧的数字是:81.7%的受访者已经经历过或预计将会经历与AI相关的安全事件。这意味着,几乎所有人都预见到风险的存在,却依然将治理搁置于优先级底部。这种矛盾,只能用一种心理来解释——侥幸。

就像明知窗户破了,却懒得修补,只盼着暴风雨绕道而行。

破局之道:三步走出治理困境

面对如此复杂的困局,是否存在可操作的解题路径?答案是肯定的。综合行业最佳实践与安全领域的系统经验,以下三步框架,或许能为企业提供一条切实可行的出路。

第一步:在做任何政策收紧之前,先摸清AI工具家底

扩大可见性,是一切治理行动的前提。在不清楚企业内部究竟运行着哪些AI工具的情况下,任何治理决策都是空中楼阁。

这需要企业建立持续性的AI资产盘点机制——不是一次性的普查,而是常态化的动态监测。通过网络流量分析、终端行为监控、应用权限审计等手段,建立企业AI工具的完整视图。只有当这张地图足够清晰,安全团队才知道需要守护的边界究竟在哪里。

暗影AI的威胁,正是源于一个"未被计数"的工具群体。定期审计AI工具库存,是切断这一风险根源的第一刀。

第二步:优先在软件层面建立控制,而非依赖用户行为规则

行为规范和安全意识培训固然必要,但它们有一个天然的局限:人是不稳定的变量。用户行为规则难以规模化落地,在生产力压力下尤其容易被绕过。

相比之下,在软件层面建立强制性的访问控制,才是更具韧性的解决方案。通过明确规定哪些工具有权访问哪些企业数据系统,从技术上封闭暴露面,企业能够在不改变员工日常行为习惯的前提下,大幅缩减潜在的攻击面。

这种思路的本质是:与其教会每一个人不要开那扇门,不如直接在门上安装需要授权才能开启的锁。

这一原则同样适用于AI代理的权限管理——最小权限原则(Principle of Least Privilege)在AI时代依然有效,甚至比以往任何时候都更加重要:给AI代理的权限,应该只是完成其特定任务所必需的最小权限集合,不多一分。

第三步:将AI治理前置到采购阶段,而非事后补漏

那些先部署AI工具、再事后修补控制措施的企业,正在承受最艰难的局面。它们已经在超过四分之一的安全事故发生率中挣扎,同时还要尝试治理那些已经深度嵌入业务流程的生产工具。

亡羊补牢,未为晚矣——但若能未雨绸缪,代价将小得多。

对于那些仍在探索AI应用、尚未完成大规模部署的企业而言,当下正是最好的时机。在引入任何AI工具之前,先回答几个关键问题:这个工具会访问哪些数据?数据是否会离开企业边界?供应商的安全资质如何?数据保留和删除策略是什么?合规要求能否得到满足?

将这些问题标准化为采购清单上的必答项,让AI治理从一开始就成为业务决策的一部分,而非被动应对的补丁。

正如"安全左移"(Shift Left Security)的理念在软件开发领域早已深入人心——越早引入安全考量,修复成本越低。AI治理也应遵循同样的逻辑:治理左移,从采购开始。

超越工具,回归本质:治理是创新最坚固的护城河

有一种误解在企业中颇为流行:安全与治理是创新的对立面,是效率的绊脚石。每当安全团队提出限制措施,业务部门总会以"影响效率"为由进行抵制。

但这种观点,在AI时代尤为危险。

事实上,没有治理护航的AI创新,是一场豪赌。企业可能在短期内享受到效率红利,但一旦数据泄露、系统被入侵、监管合规失效,所付出的代价——无论是声誉损失、财务处罚还是客户流失,往往远超此前所有效率收益的总和。

更重要的是,AI安全事件不仅仅影响企业自身。在供应链高度互联的今天,一家企业的AI安全漏洞,可能成为上下游合作伙伴整个生态系统的攻击入口。这种风险的外溢效应,要求我们以更高的责任意识来看待AI治理这个课题。

治理能力,是企业在AI时代真正意义上的竞争护城河。那些今天愿意投入资源构建完善AI治理框架的企业,在明天的监管收紧、安全事件频发的环境中,将拥有更强的韧性和更高的信任资本。

结语:握紧缰绳,才能驰骋千里

人工智能正以不可阻挡之势,席卷现代企业的每一个角落。在这场前所未有的变革中,没有任何企业能够置身事外,没有任何行业可以独善其身。

这不意味着我们应该抗拒AI。恰恰相反,我们应当以更清醒的头脑、更系统的部署、更前瞻的视角,来迎接这场变革。AI的浪潮,不会因为你没有准备好而暂停片刻。但它是否会把你的企业推向险境,很大程度上取决于你握住缰绳的力道。

治理能力,绝不是创新的对立面。它是确保创新持续、稳定前行的压舱石。正如一艘驶向远洋的船只——风帆需要鼓起,但舵手也必须握紧方向。

没有安全护航的AI,就像没有刹车的跑车。速度固然令人心跳加速,但一旦失控,后果不堪设想。

图片

对于正在这条路上行走的每一家企业:现在,正是建立AI治理框架的最佳时机。不要等到事故发生,才开始寻找灭火器。让我们在拥抱AI的同时,也紧紧握住治理这根缰绳——在创新与安全之间,找到那个真正能让企业行稳致远的平衡点。

这不仅关乎技术发展,更关乎企业可持续发展的未来,关乎我们对客户、对合作伙伴、对社会所肩负的责任。

更多推荐