OpenClaw—AI研究5月20日,Verizon发布了2026年数据泄露调查报告(DBIR),其中包含一个与Anthropic合作完成的专门AI章节。该报告基于对793个威胁行为者的深入研究,发现中间行为者在攻击过程中平均使用了15种MITRE ATT&CK技术,AI辅助的钓鱼邮件文本同比增长了一倍。这一数据揭示了网络安全格局正在发生的深刻变化。
报告显示,攻击者正在积极利用AI工具来扩展攻击规模、提升攻击效率。AI辅助的钓鱼攻击不仅数量激增,质量也显著提升——攻击者能够批量生成更具个性化的诱饵内容,让受害者更难识别。传统的钓鱼邮件通常语言生硬、破绽百出,而现在的AI生成内容几乎可以以假乱真,连安全意识较强的用户也容易上当。
与此同时,另一个严峻的问题是员工正在通过AI工具无意中泄露敏感数据。企业在部署AI助手和自动化工具时,往往缺乏完善的数据分类和访问控制机制。员工在日常工作中使用AI工具处理业务数据时,这些数据可能被发送至外部服务器,从而造成数据泄露。报告显示,许多员工并不清楚哪些数据可以输入AI系统,哪些属于敏感信息。
报告特别指出,企业的AI治理策略远远落后于AI技术的实际应用速度。许多组织在引入AI工具时缺乏全面的风险评估,也没有建立相应的安全政策和培训机制。安全团队与业务部门之间缺乏有效沟通,导致AI工具在带来效率提升的同时,也成为新的攻击面。AI安全已成为企业不可忽视的战略议题。
面对这一形势,安全专家建议企业采取多层防御策略:首先是建立完善的AI使用政策,明确界定哪些数据可以用于AI处理;其次是加强员工的安全意识培训,提高对AI相关威胁的认识;最后是部署专门的数据防泄露(DLP)工具,监控和阻止敏感数据通过AI工具外泄。AI是一把双刃剑,企业需要在充分利用其价值的同时,切实管好这把剑。
