IBM 發佈《2025年數據洩露成本報告》:13% 的企業曾遭遇 AI 模型或AI應用的安全漏洞,大多數缺乏完善的訪問控制管理
- 儘管全球數據洩露的平均成本降至 444 萬美元,美國企業的相關損失卻攀升至 1022 萬美元;
- 在遭遇數據洩露的企業中,僅有 49% 的企業計劃加強安全投入。
香港2025年8月7日 /美通社/ -- IBM 近日發佈的《2025年數據洩露成本報告》顯示,當前 AI 應用的推進速度遠快於其安全治理體系的建設。該報告首次針對 AI 系統的安全防護、治理機制及訪問控制展開研究,儘管遭遇 AI 相關安全漏洞的機構在調研樣本中佔比不高,一個既定事實是:AI 已成為高價值、低門檻的網絡攻擊目標。
IBM發佈《2025年數據洩露成本報告》
- 13% 的受訪企業報告了 AI 模型或應用的安全漏洞,另有 8% 表示不確定是否遭遇過此類事件;
- 在遭遇AI安全漏洞的企業中,絕大部分(97%)尚未部署 AI 訪問控制機制;
- 由此導致60% 的 AI 安全事件造成數據洩露,31% 引發業務中斷。
本年度的調研結果揭示,許多企業為了加速AI 應用而繞過安全治理。缺乏監管的AI系統更易遭受攻擊,且造成的損失更為慘重。
在遭遇數據洩露的機構中,63% 尚未建立 AI 治理政策或仍在制定中。
IBM 安全和運行時產品副總裁 Suja Viswesan 指出:「數據表明 AI 應用與監管之間已存在斷層,網絡攻擊者正伺機而動。上述報告顯示,企業的AI 系統普遍缺乏基本的訪問控制,導致敏感數據暴露、模型易被篡改。隨著 AI 深度融入業務運營,其安全防護必須成為重中之重。不作為的代價不僅是經濟損失,更將損害用戶信任、透明度和控制力。」
報告同時揭示:在安全運營中廣泛採用 AI 與自動化技術的企業,其數據洩露損失平均減少190 萬美元,且處理週期平均減少80 天。
該報告由 Ponemon Institute 執行、IBM 贊助分析,數據來源於 2024 年 3 月至 2025年 2 月全球 600 家機構遭遇的數據洩露事件。該報告中關於 AI 安全漏洞、經濟損失及業務中斷的關鍵發現如下:
AI 時代的安全漏洞
- AI 治理政策:在遭遇數據洩露的機構中,63% 尚未建立 AI 治理政策或仍在制定中。在已制定AI 治理政策的機構中,僅有 34% 會對非授權 AI 工具進行定期審計。
- 影子AI 的代價:五分之一的企業稱曾因影子AI(非監管狀態下的 AI 工具使用)導致數據洩露,僅 37% 的企業制定了管理或檢測影子 AI 的政策。與較少使用影子AI的企業相比,使用率高的企業平均數據洩露成本多出 67 萬美元。涉及影子 AI 的安全事件導致個人身份信息 (65%) 和知識產權 (40%) 洩露比例遠超全球均值(分別為 53% 和 33%)。
- AI 驅動的智能攻擊:研究顯示,16% 的數據洩露事件都涉及AI 工具的使用,主要用於網絡釣魚或借助深度偽造的網絡攻擊。
數據洩露的經濟損失
- 數據洩露的成本:全球數據洩露平均成本降至 444 萬美元,為五年來首次下降,而美國企業的平均洩露成本卻創下 1022 萬美元的新高。
- 全球洩露處理週期創新低:隨著更多企業實現內部漏洞自檢,全球平均洩露處理週期(含服務恢復的漏洞識別與控制時間)縮短至 241 天,較上年減少 17 天。相比被外部攻擊揭露的漏洞,通過內部檢測發現漏洞的機構平均減少90 萬美元損失。
- 醫療行業洩露成本仍居首位。儘管醫療行業的數據洩露成本較 2024 年下降 235 萬美元,其 742 萬美元的平均損失仍在調研的所有行業中居首。該行業的漏洞識別與控制週期長達 279 天,比全球均值(241 天)多出 5 周以上。
- 勒索支付被更多企業抵制。去年企業拒絕支付贖金的比例上升,63% 的機構選擇拒付(2024 年為 59%)。儘管更多企業抵制勒索,敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時,損失高達 508 萬美元。
- AI 風險攀升下的安全投入增長乏力。2025 年計劃在數據洩露後增加安全投入的企業比例顯著下降,從 2024 年的 63% 降至 49%。而在計劃追加投入的企業中,關注 AI 驅動的安全方案或服務的機構不足半數。
數據洩露的長尾效應:運營中斷
根據 2025 年《數據洩露成本報告》,幾乎所有受訪企業在數據洩露後都遭遇了運營中斷。這種中斷嚴重拖累了恢復進度,在報告恢復情況的企業中,大多數平均耗時超 100 天。
然而,數據洩露的影響遠不止於漏洞控制階段:儘管比例同比有所下降,但近半數企業計劃因洩露事件提高商品或服務價格,其中近三分之一的企業漲價幅度達 15% 及以上。
關於《數據洩露成本報告》
《數據洩露成本報告》在過去 20 年里累計調研了近 6500 起數據洩露事件。自 2005 年首次發佈以來,數據洩露事件的本質已發生巨變:早期風險主要來自實體層面,如今,網絡攻擊已全面數字化且針對性更強,洩露事件的背後是一系列更複雜的惡意活動。
隨著企業AI 應用的加速,本年度《數據洩露成本報告》首次聚焦以下領域:AI 安全防護與治理機制現狀、AI 安全事件中的目標數據類型、AI 驅動型攻擊的關聯損失、影子 AI的泛濫程度及風險特徵。結合往期報告中的研究發現:
- 2005 年:近半數 (45%) 數據洩露由筆記本電腦或 U 盤等設備丟失引發,僅 10% 源於電子系統遭入侵。
- 2015 年:雲環境的配置錯誤尚未被列為獨立威脅類別,如今已成主要攻擊目標。
- 2020 年:勒索軟件攻擊激增,2021 年關聯洩露平均成本達 462 萬美元,到2025年該數字攀升至 508 萬美元(前提是事件由攻擊者披露)。
- 2025 年:本年度首次納入研究的 AI 安全領域,正快速成為高價值攻擊目標。
其他信息:
- 點擊此處,下載完整版《2025 年數據洩露成本報告》。
- 註冊參加將於美國東部時間 2025 年 8 月 13 日上午11點舉行的網絡研討會。
- 閱讀IBM 博客「2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security」,瞭解報告的更多發現。
關於IBM
IBM 是全球領先的混合雲、人工智能及企業服務提供商,幫助超過 175 個國家和地區的客戶,從其擁有的數據中獲取商業洞察,簡化業務流程,降低成本,並獲得行業競爭優勢。金融服務、電信和醫療健康等關鍵基礎設施領域的數千家政府和企業實體依靠 IBM 混合雲平台和紅帽 OpenShift 快速、高效、安全地實現數字化轉型。IBM 在人工智能、量子計算、行業雲解決方案和企業服務方面的突破性創新為我們的客戶提供了開放和靈活的選擇。對企業誠信、透明治理、社會責任、包容文化和服務精神的長期承諾是 IBM 業務發展的基石。瞭解更多信息,請訪問:
傳媒查詢:
郭韜