文章总结： Pentera报告基于300名CISO调研发现，67%的CISO对AI使用情况缺乏可视性，最大挑战不是预算而是缺乏专业能力和专用工具，75%仍依赖传统安全控制保护AI系统，仅11%使用AI专用安全工具。报告揭示AI安全本质是基础能力体系缺失，建议企业建立AI安全专业能力、提升AI环境可视性、强化跨系统安全验证能力，确保持续验证安全控制的有效性。 综合评分： 78 文章分类： AI安全,安全建设,安全运营,安全工具

AI安全调查：用昨天的技术保护今天的智能

数世咨询

2026年3月27日 14:41 河北

本文关键看点：

#01

AI系统分散在不同团队中，有效的集中监管已经崩溃；

#02

最大的挑战并非财务问题，而是缺乏专业技能（包括工具）；

#03

75%的CISO依赖于传统的安全控制工具，如终端、应用、云或API安全工具，来保护AI系统。

▍以下正文内容由AI工具生成，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

根据 Pentera 发布的《AI与对抗性测试基准报告2026》， 大多数安全负责人正在使用不适配的工具与技能来防护AI系统 ，难以应对当前威胁环境。

该报告基于对 300名美国CISO及高级安全负责人 的调研，重点分析了企业在AI基础设施安全方面的实践情况，并揭示出由技能短缺与工具错配所带来的关键风险。

PART 01

AI部署速度超过安全可视性

AI系统通常不会独立部署，而是深度嵌入企业现有技术体系，包括：

• 云平台
• 身份系统
• 应用系统
• 数据管道

由于这些系统由不同团队分别管理，统一的集中安全可视性正在被削弱甚至“失效”。

调查结果显示：

• 67%的CISO表示对AI使用情况缺乏可视性
• 没有任何受访者表示具备完全可视性

相反，大多数组织实际上已经接受了一定程度的：

• 未受管理的AI使用
• 未经批准的“影子AI”

在缺乏清晰视图的情况下，安全团队难以有效评估风险，例如：

• AI系统使用了哪些身份凭据
• 可访问哪些数据资源
• 当安全控制失效时会如何行为

这些基础问题在许多组织中仍然无法回答。

PART 02

最大瓶颈不是预算，而是能力

尽管AI安全已成为董事会和管理层的重要议题，但报告指出，最大挑战并非资金，而是能力不足。

CISO列出的主要障碍包括：

• 缺乏内部专业能力（50%）
• AI使用可视性不足（48%）
• 缺乏专门针对AI的安全工具（36%）

相比之下，仅有：

• 17%认为预算是主要问题

这表明，大多数企业愿意投入AI安全，但缺乏评估与管理AI风险的专业能力。

AI系统引入了一系列传统安全模型难以覆盖的行为特征，例如：

• 自主决策（Autonomous decision-making）
• 间接访问路径（Indirect access paths）
• 系统之间的高权限交互

如果缺乏专业能力与持续验证机制，企业很难判断现有安全控制是否真正有效。

PART 03

传统安全控制仍在“硬撑”AI安全

在缺乏AI专用方法论、工具与能力的情况下，企业普遍选择将现有安全控制“延伸”到AI环境。

调查显示：

• 75%的CISO依赖传统安全控制（终端、应用、云或API安全工具）
• 仅有 11%使用专门针对AI的安全工具

这种现象在技术演进初期并不罕见——企业往往先使用既有防御体系进行适配，然后再逐步建立专门的安全能力。

然而，这种方式存在明显局限：

• 传统控制并未考虑AI带来的访问模式变化
• 无法覆盖AI扩展出的新攻击路径
• 难以识别AI系统的隐式行为风险

PART 04

一个“熟悉”的问题，在AI时代重演

综合来看，报告认为：

AI安全问题的本质并不是认知不足，而是基础能力体系的缺失。

随着AI逐步成为企业核心基础设施的一部分，企业需要重点关注：

• 建立AI安全专业能力
• 提升对AI环境的可视性
• 强化跨系统的安全验证能力

报告指出，未来安全建设的关键，不只是“部署AI”，而是确保在AI已经运行的环境中，能够持续验证安全控制的有效性。

* 本文为泽钧编译，原文地址：https://thehackernews.com/2026/03/ai-is-everywhere-but-cisos-are-still.html 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《AI安全调查：用昨天的技术保护今天的智能》