企业在拥抱AI带来的变革时，面临着比预期更严峻的安全挑战。AI应用极大地扩展了攻击面，尤其体现在第三方供应链和“影子AI”的普及。同时，AI项目的高失败率，源于成本、数据质量、治理缺失、人才短缺等问题。为应对这些挑战，首席信息安全官（CISO）需优先关注五大关键领域：建立强大的AI治理模型，形成业务与技术共识；建立全面且持续更新的AI风险视图，深入理解AI特有威胁；关注数据完整性的新定义，将AI模型准确性纳入核心责任；提高各层级的AI素养，普及AI安全知识；并对网络安全领域的AI技术保持谨慎乐观，审慎评估并应用。CISO的角色已从传统守护者转变为战略架构师，需将治理融入AI生命周期，确保安全与创新同步迭代，以在AI浪潮中锚定价值。

⭐ 建立强大的AI治理模型：CISO需与CIO协作，联合业务领导者、法务、财务等部门，建立一个贯穿AI生命周期的框架。该框架应涵盖道德考量、可接受使用策略、透明度、法规遵从性及成功度量标准，并整合NIST、ISO等现有框架，形成企业自身适用的“最佳”治理模型，以统一业务与技术对AI运用的认知。

🛡️ 构建全面AI风险视图：企业需从基础入手，建立AI资产清单、软件成分清单（SBOM）及AI风险登记册。同时，深入理解模型投毒、数据推断、提示注入等AI特有威胁，并持续跟踪新兴攻击TTPs。面对AI向第三方供应链的延伸，必须进行定制化审计，并密切关注不断变化的AI法规，以全面掌握和管理AI风险。

📊 拓展数据完整性定义：在保障传统机密性、完整性和可用性的基础上，CISO的核心职责需延伸至AI模型的数据完整性和准确性。必须警惕因数据偏差导致的歧视性结果，如招聘工具的性别歧视或照片识别的肤色歧视。将AI模型的准确性纳入AI治理，是应对AI时代数据安全的关键。

💡 提升全员AI素养：鉴于AI的广泛应用，提升各层级人员的AI素养至关重要。CISO应推动安全团队进行AI基础培训，并将AI威胁建模、数据处理、API安全等纳入安全开发生命周期。同时，为开发者提供OWASP LLM漏洞等专业培训，为最终用户提供使用规范、虚假信息识别等培训，以应对AI带来的风险。

🚀 谨慎乐观拥抱AI安全技术：CISO应要求团队识别AI在警报分类、威胁狩猎等具体辅助任务中的应用，并审慎研究新兴安全方案。与技术供应商深入沟通AI优化现有技术的路线图，而非被动接受演示。广泛考察合作伙伴、竞争对手及初创公司，但需警惕AI产品化的模块化特性、高昂的开发运营成本以及初创公司的潜在风险，投资需谨慎。

原创 安全419 2025-07-24 17:46 四川

如何引领企业迈向更安全、更有效的AI应用之路。