IBM《2025數據洩漏成本報告》：AI 模型與 AI 應用已成為門檻低、商業價值高的駭客攻擊目標

IBM 近日公布《2025數據洩漏成本報告》警示，目前企業應用 AI 的速度遠超過其建置 AI 安全與治理，然而許多企業為了讓 AI 應用快速上線而忽略AI安全與AI治理。缺乏監管的 AI 系統更容易遭受攻擊，且造成的企業損失更為重大。 

今年的報告首次針對 AI 應用的安全防護、治理機制、與控制訪問狀況進行研究；儘管研究結果顯示曾出現 AI 相關安全漏洞的企業僅佔採訪樣本的 13%，AI 應用已經成為門檻低、商業價值高的網路攻擊目標。

IBM 安全和營運產品副總裁 Suja Viswesan 指出，報告結果顯示 AI 應用與治理之間的斷層已經存在，駭客正伺機而動。企業的AI 應用普遍缺少基本的存取控制，導致機敏資料遭洩漏、模型可以輕易被篡改。隨著 AI 技術更多、更深、更廣地融入企業流程，AI 安全防護必須成為基礎與重心。不作為的代價不僅損失金錢，更將損害客戶的信任、企業的透明度與自主權。

報告也提出一份比較資料：企業若在其安全業務領域廣泛應用AI 與自動化技術，其資料洩露損失平均減少 190 萬美元，處理數據洩漏事件的週期平均減少 80 天。 

這份報告由IBM 主持與分析、Ponemon Institute 執行訪問；資料來自於 2024 年 3 月至 2025年 2 月全球 600 家發生過數據洩露的企業。報告的關鍵發現包括：

AI 時代的企業安全漏洞發生領域：

• AI 治理政策：63% 曾發生過數據洩露的企業尚未建立 AI 治理政策或仍在規劃階段。已經制定AI 治理政策的企業裡，僅有 34% 定期審查未受批准的 AI 工具。
• 「影子 AI」的代價：五分之一的企業曾因影子 AI現象（未經公司同意或監管的 AI 工具）導致數據洩露，僅 37% 的企業制定了管理或偵測影子 AI 的政策。與較少出現影子AI的企業相比，發生率高的企業其平均數據洩露成本多出 67 萬美元。涉及影子 AI 的安全事件導致個人身份資訊 (65%) 和智慧財產權 (40%) 洩露的比例，遠超過全球平均值（分別為 53% 和 33%）。
• 由 AI 驅動的智慧型攻擊：16% 的數據洩露事件涉及駭客使用 AI 工具；主要用於網路釣魚或發動深度偽造的網路攻擊。