Pentera这份2026年的AI对抗测试基准报告,调研了300位美国CISO和高级安全负责人,结论直白得有点扎心:AI已经渗透企业每个角落,安全团队却还在拿过时的技能和工具硬扛。
先说最刺眼的数字。67%的CISO承认,他们对组织里AI到底怎么用、用在哪里几乎没啥可见性。没人敢说自己掌握了全貌。全是“知道一点”“默许一部分”“还有没管住的影子AI”。这不是小问题。AI不是独立跑的孤岛,它嵌在云平台、身份系统、应用和数据管道里。权限散落在不同团队手里,中心化监管早就崩了。没有全局视图,安全团队连最基础的问题都答不上来:AI靠哪些身份跑?能摸到哪些数据?控制失效时它会干出什么?
技能缺口才是真痛点。报告里CISO把障碍排了个序:内部专家不够占50%,AI使用可见性差占48%,专门为AI设计的工具不足占36%。预算问题?只有17%的人提了这茬。钱不是最缺的,人才才是。董事会天天聊AI安全,听着很热闹,可落到实操层面,团队根本不知道怎么测AI的风险。AI会自己做决定,会走隐蔽路径,会跟其他系统高权限互动,这些行为传统安全人压根没见过。
于是大部分人选择最熟悉的路——把老工具套上去。75%的CISO表示,他们靠端点安全、应用安全、云安全、API安全这些传统控制来护AI基础设施。只有11%的人手里有专门针对AI的工具。这套打法在过去的技术浪潮里见过无数次:新技术来了,先拿现有防线凑合,凑合到出大事,再慢慢补专门的方案。可AI这回不一样。它的访问模式变了,攻击面也指数级放大,老控制打补丁式覆盖,漏的窟窿只会越来越大。
报告作者Ryan Dory是Pentera的技术顾问,他写得很清楚:问题不是大家不重视,而是基础能力跟不上。AI已经成了企业基础设施的核心组成部分,安全策略却还停留在“昨天”。没有持续的对抗性测试,没有针对AI的专项技能,企业等于在赌运气。
行情这边,加密市场今天还算平稳。BTC现报$74,109(24h +0.66%),ETH现报$2,330(24h +2.53%)。主流币小幅震荡,资金没明显往AI叙事跑,但安全话题热度不减。毕竟企业用AI越多,黑产盯得越紧,链上链下攻击面都在扩。
这份报告其实戳中了很多安全老兵的痛处。AI不是加个插件就完事,它重塑了整个信任边界。CISO们现在最该干的事不是再买一堆工具,而是先搞清楚自家AI到底长啥样。缺人就去挖,缺方法就去练。没有可见性,谈什么防御都是空话。
企业高层也别光听PPT里“AI赋能业务增长”那套。增长是真,风险也是真。67%的人连影子都看不清,这不是技术问题,是治理问题。拖下去,早晚出大篓子。到时候再后悔预算没早花、专家没早招,就晚了。