AI升级拓宽黑客作恶边界 “亡羊补牢”式安全战术亟待更替

掌握大量用户信息的酒店行业如今经常通过私域营销等方式促进业务发展，一旦暴露IT侧业务能力不足，极易遭遇黑客攻击，将全部用户真实信息拖库（从数据库中导出数据），这是腾讯安全近期经常处理的事情。

基于此，近日，腾讯安全联合IDC发布“数字安全免疫力”模型框架，强调提前布局与免疫思维，警示过去传统“亡羊补牢”式的安全战术会令其面临巨大挑战。

腾讯集团副总裁、腾讯安全总裁丁珂表示，从源头上来讲，企业营销属于合法合规的发展，但由于网络安全建设问题，未能践行企业主体责任，造成客户损失。未来，针对类似行为的处罚将高达五千万起步。

这也是丁珂希望强调的重点——如今的企业与过去不同，以前企业泄露数据，无法追责、追溯、惩处。现在源头取证清清楚楚。“为什么提出数字安全免疫力？从这个角度来看，企业应将主体责任做好，”丁珂表示，企业的安全眼光不应再局限于一时一事的具体事件层面，或传统基于攻防事件的被动安全模式，而应转变为面向未来部署和企业长远发展，构建起完整的、基于风险与合规的安全体系。

近年来，伴随云计算、大数据、AI、物联网、区块链等技术的进步，企业数字化体系的边界在不断拓展。根据IDC预测，2026年全球数据量将达到221.2ZB，年复合增长率达到21.2%。数据价值的显露无疑引发大批黑色产业的觊觎。但从实际落地来看，网络安全布局情况并不理想。

缓慢主要表现在“断层”问题，丁珂表示，调研过程中发现，企业安全和发展的断层主要表现在认知不足与预算投入不足。国际客观基准线是数字安全预算投入应占企业数字化整体投入的5%，但目前70%的国内企业低于这个基准线，甚至还有超过10%的企业安全投入低于1%。丁珂称，企业数字化逐步深入，但安全建设仍停留在“头疼医头、脚疼医脚”的传统搭烟囱阶段。

IDC中国副总裁、首席分析师武连峰对第一财经记者表示，认知层面分为原有认知、浅层认知、中等程度认知、深层认知四层，目前部分企业已经发展至浅层与中层的中间状态。从预算投入的角度来讲，“未来按现在的安全产业整体数字来算，能有18.8%或20%左右的增长就很不错了，”武连峰表示。

另外，大模型的火热让人工智能浪潮再次奔涌，近期诸多产业企业进行相关技术与安全咨询。OpenAI联合创始人兼CEO萨姆·奥特曼(Sam Altman)此前表示，要使AI系统成为一个有益和安全的助手，对应的是如何训练模型，使其在没有安全威胁的前提下发挥积极作用，主动应对AGI带来的潜在挑战，将未来灾难性后果的风险降至最低。

在大模型与人工智能技术形式尚未明朗的当下，如何对其进行安全防范？一位资深网络安全行业人士对记者表示，从安全视角来看，初始阶段，业界对AI的安全防范主要聚焦在AI衍生出的伦理道德问题。其后才会逐步诞生AI应用场景，并被多个软件工具场景应用起来。

该人士称，AI衍生出的作恶边界在拓宽，但AI的自我学习能力也在弥补缺陷。目前，AIGC的应用还在等待一个好的商业模式落地。在具体落地之前，网络安全公司与相关技术企业需进行提前风险防范。一方面结合具体场景、业务，设定帐号权限，建立防御纵深，这件事目前整体可控。

其次，将前置安全工作做好，如ChatGPT这类问答对话，需用策略将AIGC能够给出的答案限定到一定安全范围内。以及通过法律法规建立和完善权利与责任。在法律法规不完善的情况下，企业方束手束脚，黑客方毫无底线，双方攻防关系将失衡，也会影响AIGC自身的发展。

总之，该安全行业人士强调，目前安全公司在应对大模型可能带来的风险方面暂时偏被动位置。一方面需结合安全行业伴生性特征，时刻关注AI技术发展；同时推动相关法律法规的落地执行，“AIGC将带来的网络安全风险既是本源性问题，又不完全是一个安全问题。”该人士称。