AI以其帶來變革性洞察和效率提升的潛力吸引了企業(yè)界的目光，然而，隨著各企業(yè)急于將其模型投入運(yùn)營(yíng)，一個(gè)嚴(yán)峻的現(xiàn)實(shí)正浮現(xiàn)出來：AI將投資轉(zhuǎn)化為實(shí)時(shí)業(yè)務(wù)價(jià)值的推理階段正受到圍攻，這一關(guān)鍵節(jié)點(diǎn)正以初始商業(yè)案例未能預(yù)測(cè)到的方式推高總擁有成本。

那些因AI項(xiàng)目的變革性優(yōu)勢(shì)而批準(zhǔn)項(xiàng)目的安全主管和CFO，如今正面臨捍衛(wèi)這些系統(tǒng)的隱性開支。對(duì)手已發(fā)現(xiàn)，推理是AI為企業(yè)“創(chuàng)造價(jià)值”的環(huán)節(jié)，也正是他們能造成最大破壞的地方。結(jié)果導(dǎo)致成本激增：在受監(jiān)管行業(yè)，違規(guī)遏制成本每起事件可能超過500萬美元，合規(guī)整改費(fèi)用高達(dá)數(shù)十萬美元，而信任危機(jī)可能引發(fā)股價(jià)暴跌或合同取消，從而嚴(yán)重削弱預(yù)期的AI投資回報(bào)率，若無法在推理階段控制成本，AI將成為不可控的預(yù)算變數(shù)。

不見的戰(zhàn)場(chǎng)：AI推理與飆升的總擁有成本

AI推理正迅速成為“下一個(gè)內(nèi)部風(fēng)險(xiǎn)”，CrowdStrike美國(guó)區(qū)現(xiàn)場(chǎng)首席技術(shù)官Cristian Rodriguez在RSAC 2025大會(huì)上向聽眾表示。

其他技術(shù)領(lǐng)袖也持相同觀點(diǎn)，并指出企業(yè)戰(zhàn)略中存在一個(gè)共同盲點(diǎn)。WinWire的首席技術(shù)官Vineet Arora指出，許多企業(yè)“在密切保護(hù)AI基礎(chǔ)設(shè)施安全的同時(shí)，無意中忽視了推理環(huán)節(jié)”。他解釋說，“這導(dǎo)致了對(duì)持續(xù)監(jiān)控系統(tǒng)、實(shí)時(shí)威脅分析和快速補(bǔ)丁機(jī)制的成本低估?！?/p>

Telesign產(chǎn)品與組合高級(jí)副總裁Steffen Schreier指出的另一個(gè)關(guān)鍵盲點(diǎn)是，“假設(shè)第三方模型已經(jīng)過全面審查，部署起來絕對(duì)安全”。他警告說，實(shí)際上，“這些模型往往未經(jīng)針對(duì)企業(yè)特定威脅環(huán)境或合規(guī)需求的評(píng)估”，可能導(dǎo)致有害或不合規(guī)的輸出，進(jìn)而損害品牌信任。Schreier告訴記者，“推理階段的漏洞——如提示注入、輸出操縱或上下文泄露——可能被攻擊者利用，產(chǎn)生有害、有偏見或不合規(guī)的輸出。這在受監(jiān)管行業(yè)中構(gòu)成嚴(yán)重風(fēng)險(xiǎn)，并可能迅速削弱品牌信任。”

當(dāng)推理環(huán)節(jié)受到損害時(shí)，其影響會(huì)波及總擁有成本的多個(gè)方面。網(wǎng)絡(luò)安全預(yù)算激增，合規(guī)性受到威脅，客戶信任受損。高管們的情緒反映了這種日益增長(zhǎng)的擔(dān)憂。在CrowdStrike的《網(wǎng)絡(luò)安全中AI狀態(tài)》調(diào)查中，只有39%的受訪者認(rèn)為GenAI的收益明顯超過風(fēng)險(xiǎn)，而40%的受訪者認(rèn)為兩者相當(dāng)。這種矛盾情緒凸顯了一個(gè)關(guān)鍵發(fā)現(xiàn)：安全和隱私控制已成為新GenAI項(xiàng)目的首要要求，令人震驚的是，90%的企業(yè)現(xiàn)在正在實(shí)施或制定管理AI采用的策略。首要關(guān)注點(diǎn)已不再抽象：26%的受訪者提及敏感數(shù)據(jù)泄露，25%的受訪者擔(dān)心對(duì)抗性攻擊是主要風(fēng)險(xiǎn)。

推理攻擊剖析

運(yùn)行AI模型所暴露的獨(dú)特攻擊面正受到對(duì)手的積極探測(cè)。為應(yīng)對(duì)此，Schreier建議，“必須將每個(gè)輸入視為潛在的惡意攻擊?！毕馩WASP大型語(yǔ)言模型(LLM)應(yīng)用前十威脅框架這樣的工具，記錄了這些威脅，它們已不再是理論上的，而是影響企業(yè)的實(shí)際攻擊向量：

• 提示注入(LLM01)和不安全的輸出處理(LLM02)：攻擊者通過輸入或輸出操縱模型。惡意輸入可能導(dǎo)致模型忽略指令或泄露專有代碼。當(dāng)應(yīng)用程序盲目信任AI響應(yīng)時(shí)，就會(huì)發(fā)生不安全的輸出處理，允許攻擊者將惡意腳本注入下游系統(tǒng)。
• 訓(xùn)練數(shù)據(jù)投毒(LLM03)和模型投毒：攻擊者通過偷偷加入污染樣本篡改訓(xùn)練數(shù)據(jù)，植入隱藏觸發(fā)器。隨后，一個(gè)無害的輸入可能觸發(fā)惡意輸出。
• 模型拒絕服務(wù)(LLM04)：對(duì)手可以用復(fù)雜輸入壓垮AI模型，消耗過多資源以減慢或崩潰它們，導(dǎo)致直接收入損失。
• 供應(yīng)鏈和插件漏洞(LLM05和LLM07)：AI生態(tài)系統(tǒng)建立在共享組件之上。例如，F(xiàn)lowise LLM工具中的一個(gè)漏洞在438臺(tái)服務(wù)器上暴露了私人AI儀表板和敏感數(shù)據(jù)，包括GitHub令牌和OpenAI API密鑰。
• 敏感信息泄露(LLM06)：如果機(jī)密信息是其訓(xùn)練數(shù)據(jù)的一部分或存在于當(dāng)前上下文中，巧妙的查詢可以從AI模型中提取這些信息。
• 過度代理(LLM08)和過度依賴(LLM09)：如果被操縱，授予AI代理無限制的權(quán)限來執(zhí)行交易或修改數(shù)據(jù)庫(kù)將是一場(chǎng)災(zāi)難。
• 模型盜竊(LLM10)：通過復(fù)雜的提取技術(shù)，企業(yè)的專有模型可能被盜——這是對(duì)其競(jìng)爭(zhēng)優(yōu)勢(shì)的直接攻擊。

這些威脅背后是基礎(chǔ)性的安全失敗。對(duì)手經(jīng)常利用泄露的憑證登錄。據(jù)《CrowdStrike 2025全球威脅報(bào)告》，2024年初，35%的云入侵涉及有效用戶憑證，且新的、未歸屬的云攻擊嘗試激增了26%。一場(chǎng)深度偽造活動(dòng)導(dǎo)致了一起2560萬美元的欺詐性轉(zhuǎn)賬，而AI生成的釣魚郵件點(diǎn)擊率高達(dá)54%，是人類撰寫郵件的四倍多。

回歸基礎(chǔ)：新時(shí)代的根基性安全

保護(hù)AI需要嚴(yán)格回歸安全基礎(chǔ)——但需通過現(xiàn)代視角應(yīng)用。Rodriguez認(rèn)為：“我們需要退一步，確保安全的基礎(chǔ)和原則仍然適用。保護(hù)操作系統(tǒng)的方法同樣適用于保護(hù)AI模型?！边@意味著要在每條攻擊路徑上實(shí)施統(tǒng)一保護(hù)，包括嚴(yán)格的數(shù)據(jù)治理、強(qiáng)大的云安全態(tài)勢(shì)管理(CSPM)，以及通過云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)實(shí)現(xiàn)的以身份為先的安全，以鎖定大多數(shù)AI工作負(fù)載所在的云環(huán)境。隨著身份成為新的邊界，AI系統(tǒng)必須像任何其他業(yè)務(wù)關(guān)鍵云資產(chǎn)一樣，受到嚴(yán)格的訪問控制和運(yùn)行時(shí)保護(hù)。

“影子AI”的幽靈：揭開隱藏的風(fēng)險(xiǎn)

“影子AI”，即員工未經(jīng)批準(zhǔn)使用AI工具，創(chuàng)造了一個(gè)巨大且未知的攻擊面。一位金融分析師使用免費(fèi)的在線LLM處理機(jī)密文件可能無意中泄露專有數(shù)據(jù)。正如Rodriguez警告的，向公共模型的查詢可能“成為他人的答案”。解決這一問題需要明確的政策、員工教育以及技術(shù)控制，如AI安全態(tài)勢(shì)管理(AI-SPM)，以發(fā)現(xiàn)和評(píng)估所有AI資產(chǎn)，無論是否經(jīng)過批準(zhǔn)。

強(qiáng)化未來：可行的防御策略

盡管對(duì)手已將AI武器化，但形勢(shì)正開始轉(zhuǎn)變。正如Ivanti現(xiàn)場(chǎng)首席信息安全官M(fèi)ike Riemer所觀察到的，防御者正開始“利用AI在網(wǎng)絡(luò)安全方面的全部潛力，分析從各種系統(tǒng)中收集的大量數(shù)據(jù)”。這種主動(dòng)姿態(tài)對(duì)于構(gòu)建強(qiáng)大的防御至關(guān)重要，它需要幾個(gè)關(guān)鍵策略：

從零開始為推理安全預(yù)算：Arora建議，第一步是進(jìn)行“全面的基于風(fēng)險(xiǎn)的評(píng)估”。他建議繪制整個(gè)推理流程圖，以識(shí)別每個(gè)數(shù)據(jù)流和漏洞?！巴ㄟ^將這些風(fēng)險(xiǎn)與可能的財(cái)務(wù)影響聯(lián)系起來，”他解釋說，“我們可以更好地量化安全漏洞的成本，”并制定現(xiàn)實(shí)的預(yù)算。那些在AI項(xiàng)目預(yù)算中為推理階段安全分配少于8%至12%的企業(yè)，往往會(huì)在后來的違規(guī)恢復(fù)和合規(guī)成本上措手不及。一位接受采訪并要求匿名的財(cái)富500強(qiáng)醫(yī)療保健提供商首席信息官，現(xiàn)在將其總GenAI預(yù)算的15%用于訓(xùn)練后風(fēng)險(xiǎn)管理，包括運(yùn)行時(shí)監(jiān)控、AI-SPM平臺(tái)和合規(guī)審計(jì)。一個(gè)實(shí)際的預(yù)算模型應(yīng)將資金分配到四個(gè)成本中心：運(yùn)行時(shí)監(jiān)控(35%)、對(duì)抗性模擬(25%)、合規(guī)工具(20%)和用戶行為分析(20%)。這些投資減少了下游的違規(guī)補(bǔ)救成本、監(jiān)管處罰和服務(wù)水平協(xié)議(SLA)違規(guī)，所有這些都有助于穩(wěn)定AI的總擁有成本。

實(shí)施運(yùn)行時(shí)監(jiān)控和驗(yàn)證：首先調(diào)整異常檢測(cè)，以發(fā)現(xiàn)推理層的行為，如異常的API調(diào)用模式、輸出熵變化或查詢頻率激增。像DataDome和Telesign這樣的供應(yīng)商現(xiàn)在提供針對(duì)GenAI濫用特征定制的實(shí)時(shí)行為分析。團(tuán)隊(duì)?wèi)?yīng)監(jiān)控輸出中的熵變化，跟蹤模型響應(yīng)中的標(biāo)記不規(guī)則性，并關(guān)注來自特權(quán)賬戶的異常查詢頻率。有效的設(shè)置包括將日志流式傳輸?shù)桨踩畔⒑褪录芾?SIEM)工具(如Splunk或Datadog)，并使用針對(duì)GenAI的解析器，以及為偏離模型基線的偏差設(shè)置實(shí)時(shí)警報(bào)閾值。

為AI采用零信任框架：對(duì)于AI環(huán)境，零信任是不可妥協(xié)的。它遵循“永不信任，始終驗(yàn)證”的原則。Riemer指出，通過采用這種架構(gòu)，企業(yè)可以確保“只有經(jīng)過身份驗(yàn)證的用戶和設(shè)備才能訪問敏感數(shù)據(jù)和應(yīng)用程序，無論其物理位置如何”。推理階段的零信任應(yīng)在多個(gè)層次上實(shí)施：

• 身份：對(duì)訪問推理端點(diǎn)的人類和服務(wù)主體進(jìn)行身份驗(yàn)證。
• 權(quán)限：使用基于角色的訪問控制(RBAC)限制大型語(yǔ)言模型(LLM)的訪問，并設(shè)置有時(shí)限的特權(quán)。
• 分段：使用服務(wù)網(wǎng)格策略隔離推理微服務(wù)，并通過云工作負(fù)載保護(hù)平臺(tái)(CWPP)實(shí)施最小權(quán)限默認(rèn)設(shè)置。

保護(hù)AI投資回報(bào)率：CISO/CFO協(xié)作模型

保護(hù)企業(yè)AI的投資回報(bào)率需要積極模擬安全的財(cái)務(wù)收益。從基準(zhǔn)投資回報(bào)率預(yù)測(cè)開始，然后為每個(gè)安全控制添加成本規(guī)避場(chǎng)景。將網(wǎng)絡(luò)安全投資與避免的成本(包括事件補(bǔ)救、SLA違規(guī)和客戶流失)聯(lián)系起來，將風(fēng)險(xiǎn)降低轉(zhuǎn)化為可衡量的投資回報(bào)率增長(zhǎng)。企業(yè)應(yīng)模擬三種投資回報(bào)率場(chǎng)景，包括基準(zhǔn)、有安全投資和違規(guī)后恢復(fù)，以清晰展示成本規(guī)避。例如，一家部署輸出驗(yàn)證的電信公司每月阻止了12,000多次錯(cuò)誤路由的查詢，每年節(jié)省了630萬美元的SLA罰款和呼叫中心工作量。將投資與避免的成本(包括違規(guī)補(bǔ)救、SLA不合規(guī)、品牌影響和客戶流失)聯(lián)系起來，為向首席財(cái)務(wù)官展示投資回報(bào)率提供有力論據(jù)。

清單：CFO級(jí)別的投資回報(bào)率保護(hù)模型

首席財(cái)務(wù)官需要清晰地傳達(dá)安全支出如何保護(hù)底線。為了在推理層保護(hù)AI投資回報(bào)率，安全投資必須像任何其他戰(zhàn)略資本分配一樣進(jìn)行建模：與總擁有成本、風(fēng)險(xiǎn)緩解和收入保護(hù)直接相關(guān)。使用此清單使AI安全投資在董事會(huì)中可辯護(hù)，并在預(yù)算周期中可操作：

• 將每項(xiàng)AI安全支出與預(yù)期的總擁有成本降低類別(合規(guī)、違規(guī)補(bǔ)救、SLA穩(wěn)定性)聯(lián)系起來。
• 運(yùn)行具有3年視野場(chǎng)景的成本規(guī)避模擬：基準(zhǔn)、受保護(hù)和違規(guī)反應(yīng)。
• 量化因SLA違規(guī)、監(jiān)管罰款、品牌信任侵蝕和客戶流失造成的財(cái)務(wù)風(fēng)險(xiǎn)。
• 與首席信息安全官和首席財(cái)務(wù)官共同建模推理層安全預(yù)算，以打破企業(yè)隔閡。
• 將安全投資展示為增長(zhǎng)推動(dòng)器，而非開銷，展示它們?nèi)绾畏€(wěn)定AI基礎(chǔ)設(shè)施以實(shí)現(xiàn)持續(xù)價(jià)值捕獲。

此模型不僅捍衛(wèi)AI投資;它還捍衛(wèi)預(yù)算和品牌，并可以保護(hù)和增強(qiáng)董事會(huì)的信譽(yù)。

結(jié)論分析：戰(zhàn)略必需品

首席信息安全官必須將AI風(fēng)險(xiǎn)管理呈現(xiàn)為業(yè)務(wù)推動(dòng)器，以投資回報(bào)率保護(hù)、品牌信任維護(hù)和監(jiān)管穩(wěn)定性來量化。隨著AI推理深入收入工作流程，保護(hù)它不再是成本中心;它是AI財(cái)務(wù)可持續(xù)性的控制平面?；A(chǔ)設(shè)施層的安全戰(zhàn)略投資必須用首席財(cái)務(wù)官能夠采取行動(dòng)的財(cái)務(wù)指標(biāo)來證明其合理性。

前進(jìn)的道路要求企業(yè)在AI創(chuàng)新投資與同等保護(hù)投資之間取得平衡。這需要新的戰(zhàn)略一致性水平。正如Ivanti首席信息官Robert Grazioli告訴記者的：“首席信息安全官和首席信息官的一致性對(duì)于有效保護(hù)現(xiàn)代企業(yè)至關(guān)重要?！边@種協(xié)作對(duì)于打破削弱安全的數(shù)據(jù)和預(yù)算隔閡至關(guān)重要，使企業(yè)能夠管理AI的真實(shí)成本，并將高風(fēng)險(xiǎn)賭博轉(zhuǎn)變?yōu)榭沙掷m(xù)、高投資回報(bào)率的增長(zhǎng)引擎。

Telesign的Schreier補(bǔ)充說：“我們通過數(shù)字身份和信任的視角來看待AI推理風(fēng)險(xiǎn)。我們?cè)贏I工具的整個(gè)生命周期中嵌入安全性——使用訪問控制、使用監(jiān)控、速率限制和行為分析來檢測(cè)濫用，并保護(hù)我們的客戶及其最終用戶免受新興威脅?！彼^續(xù)說：“我們將輸出驗(yàn)證視為AI安全架構(gòu)的關(guān)鍵層，特別是因?yàn)樵S多推理階段的風(fēng)險(xiǎn)并非源于模型的訓(xùn)練方式，而是源于它在野外的行為方式。”