研究機構 Forrester 最新發表報告顯示,生成式 AI 已經成為網絡攻擊者手中的「混亂製造者」,令企業網絡安全面臨前所未有的威脅。哥倫比亞大學 Tow 數碼新聞中心研究發現,包括 ChatGPT 和 Gemini 在內的 8 個 AI 模型整體錯誤率達到 60%。卡內基梅隆大學研究人員測試顯示,AI 代理在真實企業任務中的失敗率介乎 70% 至 90%。
Veracode 2025 年報告更揭示,45% AI 生成程式碼存在 OWASP Top 10 安全漏洞。全球身份與存取管理市場規模預計將從 2024 年的 229 億美元(約港幣 1,786.2 億元)增長至 2029 年的 343 億美元(約港幣 2,675.4 億元),複合年增長率為 8.4%。
AI 模型可靠性嚴重不足 企業營運風險驟增
Forrester 首席分析師 Allie Mellen 在 2025 年安全與風險峰會上表示,生成式 AI 就像電影《大白鯊》中的掠食者,成為網絡安全領域最大的混亂製造者。Microsoft 2025 年數碼威脅報告顯示,俄羅斯、中國、伊朗和北韓等國家支援的網絡攻擊者使用 AI 進行攻擊和散播假訊息頻率增加超過一倍。攻擊者利用 AI 技術將釣魚電郵翻譯成流利英語、生成高層的深度偽造影片,以及建立能夠實時適應以躲避偵測的惡意軟件。
Forrester 副總裁兼首席分析師 Jeff Pollard 引述卡內基梅隆大學 AgentCompany 基準測試,該測試針對 175 項真實企業任務測試領先 AI 模型,包括 Claude 3.5 Sonnet、GPT-4 及專門企業代理。結果顯示,表現最佳模型只能自主完成 24% 任務。當研究人員增加複雜性時,失敗率飆升至 70% 至 90% 之間。
Veracode 2025 年生成式 AI 程式碼安全報告測試 4 種程式語言(Java、Python、C、JavaScript)中 80 項編碼任務,涉及超過 100 個大型語言模型。研究發現語言特定表現差異顯著,Java 顯示最差結果,安全通過率僅為 28.5%,而 Python(55.3%)、C(57.3%)和 JavaScript(61.7%)表現較好。跨網站腳本和日誌注入證明是災難性,安全通過率僅為 12% 至 13%。
身份管理成企業防禦關鍵 AI 代理帶來新挑戰
Forrester 副總裁兼研究總監 Merritt Maxim 表示,身份安全正在經歷自單一登入(SSO)成為主流以來最重大轉變。2025 年 8 月發生 OAuth Token 漏洞影響超過 700 名 Salesforce 客戶,證明身份管理漏洞嚴重性。Forrester 首席分析師 Geoff Cairns 強調,OAuth 令牌、API 密鑰和憑證並非配置工件,而是高價值身份。當企業未能管理這些身份時,整個企業都會面臨風險。
Sailpoint 調查發現,80% IT 專業人員見證 AI 代理出現意外行為或執行未經授權操作。CyberArk CISO 研究顯示,預計 3 年內 AI 代理採用率將達到 76%,但只有不到 10% 企業擁有足夠安全和權限控制措施。近 40% 企業金融機構和軟件公司已經開始部署 AI 代理。
企業應對策略 建立 AI 時代身份安全架構
Delinea 2025 年報告指出,44% 至少有使用 AI 企業面臨業務部門在未涉及 IT 和安全團隊下部署 AI 解決方案問題,同等比例企業要應對員工未經授權使用生成式 AI 情況。雖然 89% 企業已實施某種形式政策或控制措施來限制或監控 AI 存取敏感資料,但只有 52% 全球企業聲稱擁有全面控制措施。
只有 61% 企業聲稱能夠完全掌握所有機器身份以監控是否受到入侵。這種信心與能力之間脫節令企業容易受到無法察覺威脅影響,這些威脅可能輕易通過未受管理 AI 系統傳播。企業需要從堅實治理和可見性基礎開始,實施明確可接受使用指引、存取控制、活動記錄和審計,以及 AI 實體身份治理。
CyberArk 於 2025 年 11 月宣布推出 CyberArk Secure AI Agents Solution,這是業界首個專為保護 AI 代理身份而設權限控制解決方案。該解決方案將即時權限管理、最小權限存取、即時(JIT)存取和零常設權限等原則應用於 AI 代理,確保代理只在需要時獲得所需權限。
Akeyless 推出 AI Agent Identity Security 解決方案提供可驗證聯邦數碼身份,使 AI 代理能夠在任何環境中安全通信。該解決方案與 AWS、GCP 和 Azure IAM 框架整合,以及 OpenAI、Google Gemini、Anthropic Claude 和 Grok 等平台,用動態憑證取代靜態 API 密鑰。
市場前景與行業趨勢 亞太區增長潛力最大
IAM 市場主要驅動因素包括網絡威脅和資料外洩事件增加、採用雲端服務、嚴格監管合規要求,以及向遠程工作轉變。消費者 IAM 細分市場預計在預測期間將錄得最高複合年增長率,原因是消費者對私隱和資料保護意識和需求不斷提高,迫使企業採用強大 IAM 系統。
按地區劃分,亞太區市場將在預測期內以最高複合年增長率增長。該地區正在經歷快速經濟增長和數碼轉型計劃,特別是在中國、印度和日本等主要經濟體,大幅推動 IAM 解決方案採用。該地區初創企業數量激增和中小企業擴張,這些企業愈來愈多採用基於雲端 IAM 解決方案來加強安全措施。
World Economic Forum 2025 年全球網絡安全展望指出,地緣政治緊張局勢和 AI 網絡威脅影響令企業脆弱性迅速增加。小型企業特別容易受到影響,報告網絡韌性不足企業數量是 2022 年 7 倍。
Microsoft 建議企業採用雲端原生應用保護平台(CNAPP),將雲端安全態勢管理(CSPM)、雲端基礎設施授權管理(CIEM)和雲端工作負載保護平台(CWPP)等工具統一到單一平台中。這種整合視圖對於生成式 AI 引入不可預測行為環境至關重要,令傳統孤立防禦措施變得不足。
企業必須將身份視為 AI 營運中樞神經系統。成功企業會將身份作為控制平面,將授權轉移到運行時,將資料存取與目的連結,並在觸及真實資料之前先在合成資料上證明價值。採取這些措施後,企業可以擴展到 100 萬個代理而不會增加漏洞風險。隨著 AI 代理成為企業數碼勞動力核心成員,建立強大身份安全框架將成為企業在 AI 時代保持競爭力關鍵。
來源:VentureBeat