AI安全风险加剧：应用超前于政策

一、核心背景

发布机构：ISACA国际信息系统审计协会

发布时间：2026年5月5日

调研样本：全球3400名安全、审计、合规、数字化专业人员

核心定性：AI落地应用速度，严重超前于安全政策与数据治理建设

二、关键核心数据

全球68%企业已部署AI，但无配套完整数据安全策略

仅38%企业拥有正式完备的AI安全/合规管理制度

30%仅有零散有限规则，25%企业完全无AI相关政策

90%职场员工日常工作中已常态化使用各类AI工具

仅20%企业制定了AI异常、模型投毒后的紧急关停与回退预案

71%从业者认为AI生成钓鱼攻击、社工诈骗更难识别防御

三、主要安全风险

影子AI泛滥：员工私自用大模型上传业务敏感数据，造成无意识数据泄露

训练数据风险：训练数据集泄露、被窃取、非法倒卖风险持续走高

模型安全隐患：模型投毒、prompt注入、恶意诱导输出敏感信息

防御体系滞后：传统安全设备难以识别AI新型攻击，企业监控存在大面积盲区

四、高危重点行业

金融、医疗为AI网络攻击首要瞄准领域，涉及客户隐私、诊疗数据、资金交易数据等高价值资产，泄露与合规处罚风险双重叠加。

五、权威观点摘要

企业董事会普遍对AI潜在风险认知不足，治理意识缺口突出

可信AI的根基是数据安全+隐私治理，无数据管控则无法规避AI合规与安全风险

AI既是攻击升级工具，也是安全防御利器，43%企业借助AI工具显著提升威胁检测响应效率

六、企业落地建议

尽快出台统一AI使用规范、数据上传管控细则

限制敏感业务、涉密数据直接输入公共大模型

建立AI系统应急关停、风险溯源、事件审计流程

重点加固金融、医疗等核心业务AI场景的数据传输与脱敏管控