报告显示,在生成式AI快速渗透的背景下,全球企业网络安全准备度连续两年停滞,仅有4%的企业达到成熟阶段,较2023年的3%略有提升,而70%的企业仍处于初级或形成阶段,其中61%处于形成期、9%仍为入门水平。这一结构表明,尽管企业安全意识提升,但能力建设未能同步推进,安全成熟度呈现明显“低位锁定”。
从风险暴露来看,AI正成为攻击与防御的双刃剑。86%的企业在过去一年遭遇至少一起AI相关安全事件,但仅48%的企业认为员工理解AI攻击方式,45%具备AI安全评估能力 。与此同时,模型窃取(43%)、AI增强社会工程(42%)与数据投毒(38%)成为主要攻击路径,显示攻击已从传统漏洞利用转向智能化与认知层渗透。
五大安全支柱发展呈现明显失衡。设备可信度成熟度提升至12%,为唯一改善领域,而AI防护(7%)、网络韧性(7%)、身份安全(6%)与云安全(4%)均维持低位 。尤其网络韧性出现倒退,63%的企业仍处于低成熟阶段,反映在混合办公、分布式架构与AI攻击叠加下,传统网络防御体系正逐步失效。
企业内部管理复杂性显著上升。49%的企业过去一年遭遇网络攻击,71%预计未来12至24个月将发生业务中断风险,而84%的员工通过非托管设备接入系统,31%的员工每周连接六个不同网络 。与此同时,77%的企业认为安全工具过多反而降低响应效率,70%的企业部署超过10种安全解决方案,显示安全体系正陷入“复杂性陷阱”。
投入端虽保持增长,但结构性问题凸显。97%的企业增加网络安全预算,其中93%的增幅超过10%,约30%超过30% 。然而安全支出占IT预算比例反而下降至45%,低于2024年的53%,意味着整体IT扩张速度超过安全投入,导致“防护能力被动稀释”。
AI治理能力缺口进一步扩大。60%的企业无法监测员工使用生成式AI的具体行为,60%缺乏识别未授权AI工具的信心,小型企业该比例高达68% 。尽管89%的企业已部分使用AI进行威胁分析,但仅33%愿意完全自动化安全体系,反映出对AI信任度仍处于过渡阶段。
行业与规模差异加剧安全分化。科技与金融行业AI认知度达55%,显著高于医疗行业的39%;大型企业成熟度达6%,高于中型(5%)与小型企业(2%) 。但中型企业凭借灵活性展现出更快的能力提升潜力,而小企业虽资源不足,却在AI安全应用上表现出更强的早期采用倾向。
整体来看,网络安全正进入“高投入、低成熟”的结构性阶段。AI推动攻击复杂度指数级上升,但企业在人才、架构与治理层面的滞后,使安全能力难以兑现投入效率。未来趋势将呈现三大特征:一是安全能力向“AI驱动”集中,但信任与治理将成为关键瓶颈;二是安全架构将从分散工具向平台化整合转型;三是企业间安全差距将进一步扩大,具备数据、人才与AI能力的头部企业将构建更高壁垒,而中小企业风险暴露将持续上升。
文档链接将分享到199IT知识星球,扫描下面二维码即可查阅!
更多阅读:
