AI是否真正大規(guī)模進(jìn)入核心業(yè)務(wù)，關(guān)鍵不在于模型能力又提升了多少，而在于一旦出現(xiàn)問題，系統(tǒng)能否被及時(shí)停下，過程能否被追溯，責(zé)任能否被清晰界定。在這些問題解決之前，安全都會(huì)是AI落地過程中最現(xiàn)實(shí)、也最難繞開的門檻。

作者|斗斗

編輯|皮爺

出品|產(chǎn)業(yè)家

攻擊一旦被AI變成一種“產(chǎn)能”，攻防關(guān)系面臨的則是結(jié)構(gòu)性失衡。

這種變化已經(jīng)開始在現(xiàn)實(shí)中顯現(xiàn)。

12月22日22時(shí)，快手遭遇大規(guī)模黑灰產(chǎn)攻擊，監(jiān)測(cè)數(shù)據(jù)顯示峰值時(shí)段約有1.7萬個(gè)被控僵尸賬號(hào)同步開播推送色情低俗內(nèi)容。事實(shí)上，攻擊手法并不新奇，真正改變戰(zhàn)局的是AI帶來的“杠桿效應(yīng)”，即在AI的加持下，攻擊成本降到極低，攻擊效率反而被成倍放大，防守方的響應(yīng)能力首次被壓制在對(duì)手之下。

這并非孤立事件。一組來自O(shè)ECD的AI事件監(jiān)測(cè)數(shù)據(jù)顯示，2024年的AI風(fēng)險(xiǎn)事件總數(shù)約是2022年的21.8倍，20192024年間記錄的事件中約74%與AI安全相關(guān)，安全與可靠性事件較2023年增長(zhǎng)83.7%。

在這種背景下，安全的邏輯正在被迫重寫。

過去，企業(yè)在選擇大模型或Agent服務(wù)商時(shí)，性能、價(jià)格、生態(tài)幾乎天然排在最前面，安全更多被視為一種事后補(bǔ)救能力。但在一輪又一輪實(shí)戰(zhàn)之后，越來越多企業(yè)開始意識(shí)到，一旦將業(yè)務(wù)流程、用戶觸點(diǎn)乃至決策權(quán)交給AI，安全就不再是“事后諸葛亮”的選項(xiàng)，而是必須前置到選型階段。

而這場(chǎng)微妙的反轉(zhuǎn)，正在倒逼企業(yè)重新排序與AI相關(guān)的所有決策優(yōu)先級(jí)。一組來自阿里云與Omdia聯(lián)合發(fā)布AI安全報(bào)告顯示，企業(yè)將安全與數(shù)據(jù)隱私視為AI主要障礙的比例，從2023年11%激增至2024年43%。

安全，第一次從“可選項(xiàng)”變成了AI能否落地的前置條件。

一、從探索到深水區(qū)，

AI安全成為落地前提

2025年，企業(yè)對(duì)“安全”的敏感度正迅速放大。

進(jìn)入2025年，AI已從技術(shù)探索階段邁入企業(yè)業(yè)務(wù)的深度應(yīng)用場(chǎng)景。麥肯錫《ThestateofAIin2025》報(bào)告顯示，88%的受訪企業(yè)表示已在至少一個(gè)業(yè)務(wù)職能中使用AI技術(shù)，比去年整整高出了10個(gè)百分點(diǎn)。

而隨著AI使用范圍和能力的遷移，企業(yè)對(duì)安全的敏感度正在迅速放大。要知道早期的AI應(yīng)用多停留在撰寫文案、內(nèi)容生成及簡(jiǎn)單數(shù)據(jù)分析等輔助性場(chǎng)景，這類應(yīng)用即便出現(xiàn)誤判或偏差，對(duì)業(yè)務(wù)本身的損害有限。但是隨著AI加速落地，其開始被賦予更強(qiáng)的權(quán)限，例如讀取業(yè)務(wù)數(shù)據(jù)、調(diào)取內(nèi)部系統(tǒng)、參與流程決策等。

Gartner預(yù)測(cè)，到2028年33%的企業(yè)軟件將包含AI代理功能，可自主完成15%的人類日常工作決策，權(quán)限擴(kuò)張帶來的風(fēng)險(xiǎn)敞口持續(xù)擴(kuò)大。

在這種背景下，AI一旦失控，就不再是一個(gè)輸出錯(cuò)誤那么簡(jiǎn)單，而可能會(huì)直接暴露敏感數(shù)據(jù)或影響生產(chǎn)與交易流程。

這種擔(dān)憂并非空穴來風(fēng)。一家來自HarmonicSecurity的分析顯示，在2025年二季度，企業(yè)使用的各類GenAI平臺(tái)中，超過4%的對(duì)話、20%以上的上傳文件都包含敏感企業(yè)數(shù)據(jù)。這意味著一旦管控不到位，風(fēng)險(xiǎn)會(huì)在日常使用中被持續(xù)放大。

也正因?yàn)槿绱�，安全不再是可有可無的選項(xiàng)。根據(jù)賽博研究院發(fā)布的《2025全球可信AI治理與數(shù)據(jù)安全報(bào)告》顯示，模型的準(zhǔn)確性與穩(wěn)定性是企業(yè)最看重的因素，緊隨其后的便是占據(jù)79%數(shù)據(jù)使用的合規(guī)性與隱私保護(hù)、和占據(jù)54%的總擁有成本與投資回報(bào)比。安全，正在被主動(dòng)前移到項(xiàng)目啟動(dòng)和技術(shù)選型階段，成為企業(yè)AI落地的關(guān)鍵前提。

這一點(diǎn)，已經(jīng)成為頭部企業(yè)的共識(shí)。

一則全球16家頭部AI企業(yè)簽署的“前沿人工智能安全承諾”中，明確提出“開發(fā)和部署前沿AI模型和系統(tǒng)時(shí)需有效識(shí)別、評(píng)估和管理風(fēng)險(xiǎn)，設(shè)定不可容忍風(fēng)險(xiǎn)的閾值”，印證了安全已成為行業(yè)共識(shí)的核心指標(biāo)。

這種風(fēng)險(xiǎn)感知，具體還體現(xiàn)在企業(yè)選擇合作伙伴和推進(jìn)項(xiàng)目的實(shí)際流程中。

例如，一家大型制造企業(yè)IT負(fù)責(zé)人向產(chǎn)業(yè)家透露，過去只要模型在試點(diǎn)階段跑通業(yè)務(wù)場(chǎng)景，就可以進(jìn)入下一階段評(píng)估。但在最新一輪Agent能力測(cè)試中，該企業(yè)要求測(cè)試包括提示注入、越獄風(fēng)險(xiǎn)、越權(quán)調(diào)用等負(fù)面測(cè)試用例，否則該方案直接無法進(jìn)入評(píng)審環(huán)節(jié)。

再比如，有證券行業(yè)的CIO在內(nèi)部郵件中明確要求：AI平臺(tái)必須支持企業(yè)私有部署或VPC隔離，并禁止任何業(yè)務(wù)數(shù)據(jù)用于第三方訓(xùn)練，否則不予進(jìn)入第二輪評(píng)估。這一類條款的出現(xiàn)，反映出企業(yè)在第一階段，就開始把數(shù)據(jù)安全和訪問控制，作為了篩選供應(yīng)商的核心條件。

可以發(fā)現(xiàn)，安全不再是一個(gè)孤立的成本中心，而是決定AI能否被廣泛采納、可信賴運(yùn)營(yíng)的核心條件。更重要的是，安全也正成為企業(yè)生態(tài)中信任的最重要貨幣。在合作伙伴選擇、行業(yè)合作框架、客戶合同談判中，AI安全保障已經(jīng)成為談判桌上的核心條款之一，甚至直接影響合同簽約與商業(yè)合作成敗。

在這其中，誰能在效率紅利與安全紅線之間找到更穩(wěn)妥的平衡，誰才有資格在下一階段的AI競(jìng)爭(zhēng)中真正跑在前面。

二、安全“前移”AI選型，

正在改變安全競(jìng)爭(zhēng)格局

在2025年，國(guó)內(nèi)首次進(jìn)行了AI大模型實(shí)網(wǎng)眾測(cè)，發(fā)現(xiàn)了281個(gè)安全漏洞，其中大模型特有漏洞177個(gè)，占比63%。這些漏洞包括提示注入、越獄攻擊、對(duì)抗樣本等傳統(tǒng)安全體系無法覆蓋的威脅類型。

傳統(tǒng)安全廠商的策略，已經(jīng)無法承受AI時(shí)代的新攻擊手段。

隨著AI技術(shù)的普及徹底改變了網(wǎng)絡(luò)攻擊的底層邏輯。安全廠商要做的事情越來越多，但價(jià)值越來越難量化。但這不是廠商能力的問題，而是產(chǎn)業(yè)結(jié)構(gòu)轉(zhuǎn)向責(zé)任共擔(dān)。這對(duì)產(chǎn)業(yè)的影響是深刻的。一方面，安全能力將不可避免地被“內(nèi)嵌化”，融入云平臺(tái)、模型底座、業(yè)務(wù)系統(tǒng)，獨(dú)立交付的空間被不斷壓縮；另一方面，安全廠商如果無法提供治理層面的價(jià)值，就會(huì)被邊緣化為某種可替換能力模塊。

而想要避免成為被內(nèi)化的那一個(gè)，則必須讓自己成為系統(tǒng)運(yùn)行過程中繞不開的一環(huán)。

以360、奇安信、深信服、綠盟科技為代表的傳統(tǒng)網(wǎng)絡(luò)安全廠商，整體策略并非推倒重來，而是將AI視為能力增強(qiáng)器，選擇在既有安全產(chǎn)品與平臺(tái)中嵌入大模型能力。

以360為例，其在2023年正式發(fā)布“AI原生安全大模型”，宣稱基于超過40PB的安全樣本數(shù)據(jù)、數(shù)十年攻防對(duì)抗經(jīng)驗(yàn)，用于APT攻擊檢測(cè)、威脅情報(bào)自動(dòng)挖掘和安全事件研判。據(jù)其披露，在APT告警去重和誤報(bào)壓縮方面，模型輔助分析可將人工分析成本降低50%以上。

這一路徑的優(yōu)勢(shì)非常明顯。根據(jù)賽迪顧問數(shù)據(jù)，中國(guó)政企網(wǎng)絡(luò)安全市場(chǎng)中，頭部廠商在政府、金融、能源等行業(yè)的存量覆蓋率普遍超過60%，可以說傳統(tǒng)廠商牢牢掌控政企安全入口。

與傳統(tǒng)廠商不同，阿里云、騰訊云、百度智能云等云服務(wù)商選擇從基礎(chǔ)設(shè)施與平臺(tái)層入手，將安全能力直接“內(nèi)建”到AI的全生命周期中。

在實(shí)際落地上，這類廠商普遍在模型托管、推理調(diào)用、插件接入、Agent編排等環(huán)節(jié)，默認(rèn)啟用安全控制策略，并將身份、權(quán)限、數(shù)據(jù)、模型版本與AI使用過程進(jìn)行強(qiáng)綁定。例如阿里云在其大模型服務(wù)平臺(tái)中，將API調(diào)用鑒權(quán)、Prompt審計(jì)、RAG數(shù)據(jù)訪問權(quán)限作為默認(rèn)能力；騰訊云在企業(yè)大模型平臺(tái)中，將模型調(diào)用與企業(yè)IAM、日志審計(jì)、數(shù)據(jù)分級(jí)打通；百度智能云則在Agent構(gòu)建框架中限制外部工具調(diào)用權(quán)限，降低模型“越權(quán)執(zhí)行”風(fēng)險(xiǎn)。

這類廠商由于安全能力被嵌入到主路徑中，其邊際成本幾乎為零。尤其在Prompt注入、RAG檢索污染、Agent工具濫用等新型攻擊面上，平臺(tái)級(jí)約束明顯比事后檢測(cè)更具規(guī)模效率。

另一類重要玩家，是聚焦細(xì)分場(chǎng)景的垂直安全廠商。以數(shù)美科技為例，其長(zhǎng)期深耕內(nèi)容安全、反欺詐、黑產(chǎn)行為建模。在生成式AI場(chǎng)景下，數(shù)美將原有的風(fēng)控模型遷移至AI濫用治理中，用于識(shí)別惡意Prompt、自動(dòng)化詐騙腳本生成、虛假內(nèi)容批量生成等行為。據(jù)公開案例，其在部分社交與內(nèi)容平臺(tái)中，AI濫用識(shí)別的命中率已高于90%。

這類廠商的優(yōu)勢(shì)在于專業(yè)能力聚焦，模型對(duì)抗經(jīng)驗(yàn)深。能高風(fēng)險(xiǎn)場(chǎng)景中提供不可替代價(jià)值。

近年來，也有一批原生AI安全廠商正快速崛起。這類公司并非從傳統(tǒng)安全體系演進(jìn)而來，而是直接聚焦模型本體與智能體層，從設(shè)計(jì)階段降低風(fēng)險(xiǎn)。這類廠商通常技術(shù)迭代快、對(duì)新型對(duì)抗攻擊高度敏感，在模型級(jí)安全上具備先發(fā)優(yōu)勢(shì)。

綜合來看，在生成式AI的持續(xù)壓力下，安全產(chǎn)業(yè)的分工正在重排。不同位置的廠商，正從各自的切口出發(fā)，共同托起一套亟需重構(gòu)、尚未定型的“新安全體系”。

三、AI安全的能力邊界：

無法“清零”，只能“控?fù)p”

當(dāng)安全被推到AI選型的前臺(tái)，一個(gè)繞不開的問題也隨之浮現(xiàn)：安全是不是越強(qiáng)越好？是否存在足夠安全？

答案并不樂觀。OpenAI曾在公開研究中給出過一組判斷：在AI瀏覽器、Agent等場(chǎng)景中，提示注入屬于結(jié)構(gòu)性風(fēng)險(xiǎn)。即便持續(xù)加固，安全系統(tǒng)也無法做到100%攔截，最優(yōu)狀態(tài)，最優(yōu)防護(hù)僅能將攻擊成功率壓至5%-10%。

這一點(diǎn)，在數(shù)美科技CTO梁堃的判斷中同樣明確：“當(dāng)前實(shí)現(xiàn)對(duì)黑灰產(chǎn)的百分之百阻斷，并不現(xiàn)實(shí)。”

不過，需要澄清的是，并非所有AI場(chǎng)景都把安全放在第一位。

在大量探索性與邊緣業(yè)務(wù)中，企業(yè)依然會(huì)選擇效果優(yōu)先。例如內(nèi)部知識(shí)助手、營(yíng)銷內(nèi)容生成、數(shù)據(jù)分析Copilot，這些場(chǎng)景要么不接觸敏感數(shù)據(jù)，要么不具備執(zhí)行權(quán)限，即便模型出現(xiàn)偏差，風(fēng)險(xiǎn)也相對(duì)可控。在這些場(chǎng)景中，企業(yè)更關(guān)心的是投入產(chǎn)出比，而非安全治理的完備性。

真正發(fā)生轉(zhuǎn)折的，是AI開始進(jìn)入核心業(yè)務(wù)鏈路之后。在涉及客戶數(shù)據(jù)、交易決策、生產(chǎn)調(diào)度、風(fēng)控審核等場(chǎng)景中，企業(yè)往往會(huì)迅速收緊策略，將安全前置為硬約束。

這種認(rèn)知轉(zhuǎn)變，直接帶來了三種明顯的使用方式變化。

第一種轉(zhuǎn)向，是從“能跑”到“能控”。

在安全前置后，企業(yè)普遍開始限制模型可觸達(dá)的數(shù)據(jù)范圍。原本可以全量接入的數(shù)據(jù)，被拆解為分級(jí)、分域、分場(chǎng)景使用；RAG檢索不再“全庫(kù)召回”，而是限定在經(jīng)過審核的知識(shí)集合中。這可能會(huì)導(dǎo)致模型在某些任務(wù)上的準(zhǔn)確率可能下降，召回率受到影響，業(yè)務(wù)側(cè)不得不投入更多精力進(jìn)行數(shù)據(jù)治理與結(jié)構(gòu)化整理。

不過，這并非技術(shù)倒退。對(duì)企業(yè)而言，寧愿犧牲部分效果，也不愿承擔(dān)不可控風(fēng)險(xiǎn)。

第二種轉(zhuǎn)向，是從“可用”到“可審”。

隨著AI被納入正式生產(chǎn)環(huán)境，是否具備審計(jì)與留痕能力，成為一道關(guān)鍵門檻。Prompt是否可追溯？模型引用了哪些檢索內(nèi)容？Agent調(diào)用了哪些工具、在什么時(shí)間、以什么權(quán)限執(zhí)行？這些原本屬于工程細(xì)節(jié)的問題，開始被寫進(jìn)驗(yàn)收清單。

這會(huì)直接導(dǎo)致系統(tǒng)復(fù)雜度和成本上升，比如調(diào)用鏈變長(zhǎng)、延遲增加、算力消耗提高。但在ToB場(chǎng)景中，可解釋性往往比極致效率更重要。能不能說清楚發(fā)生了什么，開始成為比跑得快不快更重要的指標(biāo)。

第三種轉(zhuǎn)向，則是從“自動(dòng)化”到“半自動(dòng)化”。

在很多核心業(yè)務(wù)場(chǎng)景中，企業(yè)并未選擇讓Agent全自動(dòng)執(zhí)行，而是采用“建議+人審+執(zhí)行隔離”的模式。AI給出決策建議，人類完成最終確認(rèn)，關(guān)鍵操作與生產(chǎn)系統(tǒng)隔離。這種模式顯然拉長(zhǎng)了流程，也限制了調(diào)度規(guī)模，但它符合當(dāng)前企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度。

在這一階段，安全的作用不再是提升攔截率，而是防止系統(tǒng)失控。也正是在這樣的實(shí)踐中，企業(yè)逐漸形成了清晰的內(nèi)部分層。邊緣業(yè)務(wù)可以容忍更多不確定性，安全要求相對(duì)靠后；核心業(yè)務(wù)必須安全前置，且允許的自動(dòng)化程度明顯更低。

值得注意的是，這種分層并非一成不變。隨著安全能力的成熟、治理經(jīng)驗(yàn)的積累，部分原本需要人工介入的環(huán)節(jié)，可能會(huì)逐步放權(quán)給AI。

從這個(gè)角度看，AI時(shí)代的安全，已經(jīng)不再是“有沒有”的問題，而是“管到什么程度”的問題。通過限制數(shù)據(jù)、收緊權(quán)限、引入審計(jì)，把不可避免的風(fēng)險(xiǎn)控制在企業(yè)可以接受的范圍之內(nèi)。這種安全實(shí)踐的深化，不僅改變了企業(yè)自身對(duì)AI治理的路徑，也使得整個(gè)產(chǎn)業(yè)對(duì)AI安全的認(rèn)知正在發(fā)生根本性轉(zhuǎn)向。

寫在最后：

可以預(yù)見，在相當(dāng)長(zhǎng)的一段時(shí)間里，AI安全都不可能靠一次性方案徹底解決。

在此過程中，企業(yè)對(duì)AI的使用會(huì)持續(xù)分化，即邊緣業(yè)務(wù)更看重效率和產(chǎn)出，而核心業(yè)務(wù)則會(huì)保持長(zhǎng)期審慎。自動(dòng)化不會(huì)簡(jiǎn)單地“一步到位”，而是圍繞權(quán)限控制、審計(jì)機(jī)制和責(zé)任邊界逐步推進(jìn)。AI的能力會(huì)不斷增強(qiáng)，但它被允許自主決策的空間，并不會(huì)必然同步擴(kuò)大。

對(duì)安全產(chǎn)業(yè)來說，這同樣是一輪長(zhǎng)期調(diào)整。單純依賴事后檢測(cè)的價(jià)值將持續(xù)下降，能夠參與系統(tǒng)設(shè)計(jì)、權(quán)限治理和運(yùn)行約束的能力，反而會(huì)變得越來越關(guān)鍵。安全不再只是一個(gè)獨(dú)立產(chǎn)品，而更像是AI系統(tǒng)運(yùn)行的前提條件。

從這個(gè)角度看，AI是否真正大規(guī)模進(jìn)入核心業(yè)務(wù)，關(guān)鍵不在于模型能力又提升了多少，而在于一旦出現(xiàn)問題，系統(tǒng)能否被及時(shí)停下，過程能否被追溯，責(zé)任能否被清晰界定。

在這些問題解決之前，安全都會(huì)是AI落地過程中最現(xiàn)實(shí)、也最難繞開的門檻。

       原文標(biāo)題 : 2026年，安全正在成為AI選型的“新標(biāo)配”