文章总结： 文档基于CISA指南与行业观点，剖析AI在OT网络安全领域的应用风险。指出AI存在模型被攻击、决策黑箱及人员技能退化等隐患，面临数据质量与标准滞后挑战。文章批判缺乏实证的炒作，建议坚持自主可控与人本智控原则，构建数据治理体系，推动证据驱动的审慎实践，以保障关键基础设施安全。 综合评分： 83 文章分类： AI安全,网络安全,安全建设

AI驱动OT网络安全：炒作还是助力？——基于CISA指南与行业观点的思考

原创

安帝科技 安帝科技

安帝Andisec

2026年3月11日 12:00 北京

近年来，人工智能（AI）与运营技术（OT）的融合被视为工业数字化转型与网络安全防御的下一场革命。然而，伴随全球多国网络安全机构联合发布《运营技术中人工智能安全集成原则》（2025年12月3日），以及行业专家日益增多的审慎讨论，一个核心问题浮出水面：AI在OT网络安全领域，究竟是颠覆性的助力，还是被过度渲染的炒作？综合研读相关指南与行业专家讨论可以发现，尽管AI潜力巨大，但其在OT安全领域的应用远非一片坦途，存在一系列深刻的技术隐患、操作风险与认知误区，亟需冷静审视与理性部署。

一、

风险之影：AI自身成为新型攻击载体与风险源

OT环境控制着关键物理基础设施，其安全首重“功能性安全”（Safety），即防止人员伤害、设备损坏与环境灾难。AI的引入，非单纯增添防护盾牌，更可能植入新的脆弱性“炸弹”。

1. 模型自身的安全威胁：由美国网络安全和基础设施安全局（CISA）、澳大利亚信号局网络安全中心（ASD’s ACSC）等九家机构联合发布的指南明确指出，AI模型、数据及部署软件可能被操纵，导致错误输出，甚至被用以绕过安全措施与防护机制（见参考资源[6]，第7页，表2）。这不仅仅是传统IT风险在OT域的延伸，更包括“提示词注入”等AI特有的网络攻击手法。参考材料1中，罗克韦尔自动化网络安全服务全球能力经理Vicky Bruce警告，攻击者正利用AI设计能够自适应、逃避检测的恶意软件，并可“毒化”AI训练数据，诱使其产生误判或忽略真实威胁[1]。这意味着，旨在防御的AI系统，其核心——模型与数据——本身就可能成为攻击目标。

2. “黑箱”决策与可解释性缺失：AI，尤其是复杂的机器学习（ML）和大型语言模型（LLM），其决策过程往往缺乏透明度（参考文献[6]，第8页，表2 “缺乏可解释性”）。这在OT环境中是致命的。当系统出现异常或事故时，无法理解AI“为何”做出特定判断，将极大拖慢故障诊断、根源分析及恢复进程，甚至可能因误判而引发连锁安全事件。指南承认，使AI决策可被人类理解是一个持续挑战，且现有解释性AI（XAI）工具是否足以满足OT环境的安全与合规需求，仍是“悬而未决的问题”（[6]，第20页）。

3. 模型漂移与可靠性幻觉：OT环境的生产过程、设备状态和环境条件会持续变化。AI模型若不能同步更新，其基于历史训练数据做出的预测会逐渐失准，即出现“模型漂移”（[6]，第8页，表2）。更危险的是，AI可能“幻觉”，即生成看似合理实则完全错误的信息（[6]，第9页）。若操作员基于此类信息做出关键决策，可能导致设备损坏、生产中断乃至安全事故。因此，指南强烈警告，像LLM这类AI“几乎肯定不应被用于为OT环境做出安全决策”（指南附件，第9页）。

二、

依赖之殇：人类能力退化与系统性复杂化

引入AI旨在提高效率，但过度或不当依赖可能侵蚀OT安全赖以存续的人为基石，并让系统变得异常复杂。

1. 操作员技能侵蚀与认知过载：联合指南多次警示“AI依赖”风险（[6]，第8、10页）。过度依赖自动化可能导致OT人员手动操作与应急处理的关键技能退化。一旦AI系统故障或被攻破，人员可能无法有效接管。同时，AI可能产生大量误报警报，增加操作员的认知负荷，导致其疲劳、分心，反而可能引发更大的人为错误（[6]，第8页，表2 “操作员认知负荷与不必要的停机”）。

2. 系统复杂性爆炸与集成困境：将AI集成到传统OT架构中绝非易事。指南指出，这会显著增加系统整体复杂性（[6]，第9页，表2）。OT环境通常使用陈旧设备、专有协议和异构数据格式，与需要标准化数据输入和高算力的AI系统存在天然鸿沟，导致互操作性挑战、数据集成困难和高昂的集成成本（[6]，第14-15页）。参考材料3（Nozomi Networks博客）也强调，AI无法弥补薄弱的基础设施、遗留系统或不明确的策略[3]。复杂的AI系统本身也拓展了攻击面，特别是当AI功能需要远程或云连接时，可能创造出新的、暴露于互联网的攻击路径（[6]，第14页）。

三、

数据之困：质量、主权与安全的三重挑战

AI的性能极度依赖于数据，而OT数据恰恰面临独特难题。

1. 数据质量与获取困境：在分散、异构的OT环境中收集高质量、标准化且涵盖安全边缘案例的训练数据异常困难（[6]，第13页）。数据质量直接决定了AI模型的有效性，低质数据将导致AI输出不可靠，直接影响OT安全与可用性。

2. 数据安全与主权风险：OT数据，尤其是工程配置数据（如网络图、逻辑图）和实时过程数据，具有极高价值，可能泄露知识产权和运营模式（[6]，第13页）。将此类数据用于训练AI，尤其是在涉及外部云服务或跨境数据流动时，引发了严重的数据主权和安全顾虑。指南提醒，企业需警惕外国法律可能强制要求访问其境内数据（[6]，第12页）。参考材料2也指出，对数据的过度依赖可能成为“阿喀琉斯之踵”[2]。

四、

治理之缺：标准滞后、监管模糊与共识虚妄

在战略与治理层面，AI+OT的安全之路同样迷雾重重。

1. 标准与监管的真空：联合指南指出，当前国际AI技术标准主要针对IT环境，缺乏OT导向的专门标准（[6]，第18页）。同时，AI决策的难以追踪性与“黑箱”特性，使其难以满足OT领域严格的审计与安全认证要求。监管框架的演进速度远跟不上AI技术的发展步伐，给企业合规带来巨大不确定性（[6]，第8页，表2）。

2. “过早的共识”与证据缺失：这是最值得深思的批判性观点。OT安全专家Dale Peterson在参考材料5中尖锐指出，OT安全领域存在大量“缺乏数据支持的共识”[5]。例如，我们并无确凿证据证明“建立完整的OT网络资产清单”能按特定比例降低风险，但此举常被视为高优先级任务。AI的普及加剧了这一问题：AI工具降低了内容生产门槛，导致大量重复、浅层但看似权威的观点在网络上传播，形成了“合成数据中毒”般的强化循环，使未经证实的“最佳实践”被广泛误认为真理。这种基于炒作而非实证的共识，可能导致资源错配，忽略了真正关键的风险缓解措施。

结论与建议：迈向审慎、人本与证据驱动的实践探索

AI在OT网络安全领域的应用绝非简单的“助力”叙事所能概括。它是一个携带巨大潜力，但同时也内生风险、加剧复杂性、并可能诱发盲目跟风的“双刃剑”。多国联合指南的发布，本身即是对这些严峻挑战的集体回应。

因此，面对“炒作还是助力”之间，答案应是：AI可以成为助力，但前提是必须彻底剥除炒作的外衣，结合我国国情，走出一条审慎、务实、创新的融合发展之路。

几点建议：

1. 坚持自主可控，强化“安全设计”：在推进智能制造、工业互联网等国家战略时，必须将OT安全置于AI融合应用的核心。借鉴国际“安全设计”理念，推动AI-OT产品和解决方案在研发初期就内生安全属性。尤其注重供应链安全，对嵌入AI功能的OT设备及模型来源进行严格审查，提升自主可控能力。

2. 确立“人本智控”原则，避免能力空心：明确在关键基础设施场景中，AI应定位为“辅助决策”和“增强感知”的工具，而非取代人类判断的“自动驾驶”。必须保留并加强“人在环路”的最终控制权（Human-in-the-loop），建立完善的AI输出人工验证与否决流程。同时，加强对OT运维人员与网络安全人员的跨领域培训，培养既懂工业运营又懂AI安全的复合型人才，防止技能流失。

3. 构建数据治理体系，守住安全底线：针对OT数据敏感性，建立完善的数据分类分级保护制度。优先采用数据本地化处理、边缘计算和安全的“数据推送”架构，减少敏感数据出域风险。在必须使用云或外部AI服务时，需通过合同明确数据所有权、使用权边界及安全责任，并符合《网络安全法》《数据安全法》及行业监管要求。

4. 推动证据驱动实践，发展中国方案：行业主管部门、研究机构与龙头企业应携手，结合我国工业体系特点，开展针对性的AI-OT安全应用试点与效果评估，积累实证数据。鼓励基于实际风险场景的“假设－验证”型安全建设，探索形成符合中国工业企业实际、有效果、可衡量的安全防护指南与标准体系。

AI赋能OT网络安全的征程刚刚开始，其终极价值不在于替代人类或制造技术噱头，而在于能否在严格约束下，可靠地增强我们守护关键信息基础设施的能力。只有保持清醒，直面问题，立足国情，方能驾驭这项技术，使之真正服务于我国制造业高质量发展与网络强国建设的战略目标。

参考文献

[1]  Vicky Bruce. AI As a Double-Edged Sword for OT/ICS Cybersecurity[EB/OL]. Insight Jam.[2025-12-11].

[2]  mangancyber.com. 人工智能在OT网络安全领域的优势和劣势是什么？[EB/OL]. [2025-12-11].

[3]  Nozomi Networks. OT 安全博客 #2: 人工智能和运营技术：炒作还是助力？[EB/OL]. [2025-12-11].

[4]  Dale Peterson. 两个关于OT安全性的辩论[EB/OL]. S4x26 Conference. [2025-12-11].

[5]  Dale Peterson. 人工智能加剧了OT安全领域过早达成共识的问题[EB/OL].[2025-12-11].

[6]  CISA, ASD’s ACSC, NSA AISC, et al. Principles for the Secure Integration of Artificial Intelligence in Operational Technology[EB/OL].[2025-12-11]

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技 安帝科技《AI驱动OT网络安全：炒作还是助力？——基于CISA指南与行业观点的思考》