
資安團隊用 AI 快過公司管得切:六項控制要即刻補返
SANS 調查揭示採用率急升,正式風險管理近乎原地踏步
企業資安團隊引入 AI,速度明顯快過公司建立內部管治。iThome 報道,SANS Institute 今年調查發現,將 AI 放入資安策略嘅機構由 2025 年嘅 50%升到 2026 年嘅 78%;同期有正式 AI 風險管理同合規計劃嘅比例,只由 35%微升至 36%。個落差值得留意,因為 AI 已經由試玩工具走入威脅偵測、事故調查、app 保安同 red team 呢啲日常工作,一旦判斷錯誤,後果可以直接落到正式系統同客戶資料。
用得多,唔代表已經管得掂
SANS 話,受訪者入面只有 27%認為自家公司嘅 AI 部署已經成熟,真正融入日常運作。另一方面,61%受訪者已經用 AI 做 red team,比例高過上年嘅 33%;亦有 63%表示 AI 喺威脅偵測同應變方面出現過明顯不足,高過上年嘅 45%。呢組數字反映嘅問題幾實際:公司可能已經買咗工具、接好資料源同開放畀分析員使用,但仲未定清楚模型出錯時邊個負責、幾時一定要人工介入,亦未必有足夠紀錄重組一次錯誤判斷。
調查亦指,76%資安團隊要兼顧企業 AI 管治,但過半受訪者話公司冇正式 audit framework 支援。即係負責守門嗰班人,同時要趕住部署工具、處理警報、訂規矩同證明合規,角色擴闊咗,權限同資源就未必同步增加。73%受訪者話 AI 改變咗團隊培訓要求,亦說明問題唔可以淨靠多買一套產品解決;分析員要識得質疑模型輸出,先有機會捉到工具漏咗或者估錯嘅部分。
六項控制要跟住部署一齊上
第一步係收窄敏感資料權限。用 AI 查事故,通常會接觸 log、電郵、原始碼、身份資料甚至客戶紀錄,系統應該只攞到完成指定任務所需嘅資料,服務帳戶、connector 同 agent 權限亦要定期覆核。跟住要做輸出驗證同人工覆核:AI 標示惡意 IP、建議封鎖帳戶或者產生攻擊步驟,都要有證據、可信度門檻同清楚嘅批核規則;涉及隔離裝置、刪除資料或改動正式環境,就唔應該由模型自行執行。
第三同第四項係audit trail同模型表現監察。公司要記低模型版本、prompt、輸入資料來源、工具呼叫、輸出同最終由邊個批准,否則事故過後只會剩低一句「AI 建議咗」。表現亦唔可以只計慳到幾多工時,要持續量度誤報、漏報、precision、recall 同分析員推翻建議嘅比例;模型、資料源或者使用場景一改,就要重新驗證。SANS 特別提出要持續比較模型表現,呢點對資安工作好重要,因為偵測工具尋日有效,唔代表今日遇到新攻擊手法都一樣可靠。
最後係事故應變。AI 可能洩露資料、受 prompt injection 影響、錯誤呼叫工具,亦可能因供應商更新而突然改變行為。應變計劃要寫清楚點樣停用模型、撤銷 token、截斷資料連接、保留證據、通知資料負責人同回復服務。私隱專員公署嘅框架亦建議企業持續監察 AI、保留可追查紀錄、定期審核,同預先準備 AI 事故應變計劃;員工使用生成式 AI 嘅指引就要求列明可輸入咩資料、邊類人可以用,同點樣核實輸出。
數字可以參考,但唔好當成市場全貌
呢份調查訪問咗全球 536 名資安同 IT 從業員,另有一組 57 名高層資安主管回答專屬問題。57 人樣本幾細,涉及高層取態嘅百分比只適合睇方向,唔宜推論到所有企業。研究亦由 Arctic Wolf、Broadcom、Fortinet、Google、Microsoft、Wiz 等多間資安或科技供應商贊助,內容自然可能較集中工具、攻擊同培訓需求。調查冇香港獨立數據,所以推唔出港企採用率;不過本地公司處理員工用生成式 AI、個人資料權限同事故通報時,面對嘅控制問題確實相通。企業下一步要將六項控制放入每日操作,唔好等到年尾先補寫政策。
參考來源
- iThome — 近8成組織將AI用於資安,但僅36%建立正式AI風險管理計畫 — original report
- AI Use in Cybersecurity Jumped From 50% to 78% in a Year — SANS 官方公布調查樣本、方法概要、成熟度、red team、模型不足同贊助機構資料。
- 2026 SANS AI Survey Insights — 調查報告官方頁面,確認報告名稱、作者、發布日期同下載限制。
- Artificial Intelligence: Model Personal Data Protection Framework — 私隱專員公署官方框架,涵蓋風險評估、人工監督、測試驗證、可追查紀錄、持續監察同事故應變。
- Checklist on Guidelines for the Use of Generative AI by Employees — 香港官方員工使用生成式 AI 指引,交代資料輸入、使用權限、輸出核實同事故匯報建議。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







