AI 是否真正大规模进入核心业务，关键不在于模型能力又提升了多少，而在于一旦出现问题，系统能否被及时停下，过程能否被追溯，责任能否被清晰界定。在这些问题解决之前，安全都会是 AI 落地过程中最现实、也最难绕开的门槛。

攻击一旦被 AI 变成一种 " 产能 "，攻防关系面临的则是结构性失衡。

这种变化已经开始在现实中显现。

12 月 22 日 22 时，快手遭遇大规模黑灰产攻击，监测数据显示峰值时段约有 1.7 万个被控僵尸账号同步开播推送色情低俗内容。事实上，攻击手法并不新奇，真正改变战局的是 AI 带来的 " 杠杆效应 "，即在 AI 的加持下，攻击成本降到极低，攻击效率反而被成倍放大，防守方的响应能力首次被压制在对手之下。

这并非孤立事件。一组来自 OECD 的 AI 事件监测数据显示，2024 年的 AI 风险事件总数约是 2022 年的 21.8 倍，2019 ‑ 2024 年间记录的事件中约 74% 与 AI 安全相关，安全与可靠性事件较 2023 年增长 83.7%。

在这种背景下，安全的逻辑正在被迫重写。

过去，企业在选择大模型或 Agent 服务商时，性能、价格、生态几乎天然排在最前面，安全更多被视为一种事后补救能力。但在一轮又一轮实战之后，越来越多企业开始意识到，一旦将业务流程、用户触点乃至决策权交给 AI，安全就不再是 " 事后诸葛亮 " 的选项，而是必须前置到选型阶段。

而这场微妙的反转，正在倒逼企业重新排序与 AI 相关的所有决策优先级。一组来自阿里云与 Omdia 联合发布 AI 安全报告显示，企业将安全与数据隐私视为 AI 主要障碍的比例，从 2023 年 11% 激增至 2024 年 43%。

安全，第一次从 " 可选项 " 变成了 AI 能否落地的前置条件。

2025 年，企业对 " 安全 " 的敏感度正迅速放大。

进入 2025 年，AI 已从技术探索阶段迈入企业业务的深度应用场景。麦肯锡《ThestateofAIin2025》报告显示，88% 的受访企业表示已在至少一个业务职能中使用 AI 技术，比去年整整高出了 10 个百分点。

而随着 AI 使用范围和能力的迁移，企业对安全的敏感度正在迅速放大。要知道早期的 AI 应用多停留在撰写文案、内容生成及简单数据分析等辅助性场景，这类应用即便出现误判或偏差，对业务本身的损害有限。但是随着 AI 加速落地，其开始被赋予更强的权限，例如读取业务数据、调取内部系统、参与流程决策等。

Gartner 预测，到 2028 年 33% 的企业软件将包含 AI 代理功能，可自主完成 15% 的人类日常工作决策，权限扩张带来的风险敞口持续扩大。

在这种背景下，AI 一旦失控，就不再是一个输出错误那么简单，而可能会直接暴露敏感数据或影响生产与交易流程。

这种担忧并非空穴来风。一家来自 HarmonicSecurity 的分析显示，在 2025 年二季度，企业使用的各类 GenAI 平台中，超过 4% 的对话、20% 以上的上传文件都包含敏感企业数据。这意味着一旦管控不到位，风险会在日常使用中被持续放大。

也正因为如此，安全不再是可有可无的选项。根据赛博研究院发布的《2025 全球可信 AI 治理与数据安全报告》显示，模型的准确性与稳定性是企业最看重的因素，紧随其后的便是占据 79% 数据使用的合规性与隐私保护、和占据 54% 的总拥有成本与投资回报比。安全，正在被主动前移到项目启动和技术选型阶段，成为企业 AI 落地的关键前提。

这一点，已经成为头部企业的共识。

一则全球 16 家头部 AI 企业签署的 " 前沿人工智能安全承诺 " 中，明确提出 " 开发和部署前沿 AI 模型和系统时需有效识别、评估和管理风险，设定不可容忍风险的阈值 "，印证了安全已成为行业共识的核心指标。

这种风险感知，具体还体现在企业选择合作伙伴和推进项目的实际流程中。

例如，一家大型制造企业 IT 负责人向产业家透露，过去只要模型在试点阶段跑通业务场景，就可以进入下一阶段评估。但在最新一轮 Agent 能力测试中，该企业要求测试包括提示注入、越狱风险、越权调用等负面测试用例，否则该方案直接无法进入评审环节。

再比如，有证券行业的 CIO 在内部邮件中明确要求：AI 平台必须支持企业私有部署或 VPC 隔离，并禁止任何业务数据用于第三方训练，否则不予进入第二轮评估。这一类条款的出现，反映出企业在第一阶段，就开始把数据安全和访问控制，作为了筛选供应商的核心条件。

可以发现，安全不再是一个孤立的成本中心，而是决定 AI 能否被广泛采纳、可信赖运营的核心条件。更重要的是，安全也正成为企业生态中信任的最重要货币。在合作伙伴选择、行业合作框架、客户合同谈判中，AI 安全保障已经成为谈判桌上的核心条款之一，甚至直接影响合同签约与商业合作成败。

在这其中，谁能在效率红利与安全红线之间找到更稳妥的平衡，谁才有资格在下一阶段的 AI 竞争中真正跑在前面。

在 2025 年，国内首次进行了 AI 大模型实网众测，发现了 281 个安全漏洞，其中大模型特有漏洞 177 个，占比 63%。这些漏洞包括提示注入、越狱攻击、对抗样本等传统安全体系无法覆盖的威胁类型。

传统安全厂商的策略，已经无法承受 AI 时代的新攻击手段。

随着 AI 技术的普及彻底改变了网络攻击的底层逻辑。安全厂商要做的事情越来越多，但价值越来越难量化。但这不是厂商能力的问题，而是产业结构转向责任共担。这对产业的影响是深刻的。一方面，安全能力将不可避免地被 " 内嵌化 "，融入云平台、模型底座、业务系统，独立交付的空间被不断压缩；另一方面，安全厂商如果无法提供治理层面的价值，就会被边缘化为某种可替换能力模块。

而想要避免成为被内化的那一个，则必须让自己成为系统运行过程中绕不开的一环。

以 360、奇安信、深信服、绿盟科技为代表的传统网络安全厂商，整体策略并非推倒重来，而是将 AI 视为能力增强器，选择在既有安全产品与平台中嵌入大模型能力。

以 360 为例，其在 2023 年正式发布 "AI 原生安全大模型 "，宣称基于超过 40PB 的安全样本数据、数十年攻防对抗经验，用于 APT 攻击检测、威胁情报自动挖掘和安全事件研判。据其披露，在 APT 告警去重和误报压缩方面，模型辅助分析可将人工分析成本降低 50% 以上。

这一路径的优势非常明显。根据赛迪顾问数据，中国政企网络安全市场中，头部厂商在政府、金融、能源等行业的存量覆盖率普遍超过 60%，可以说传统厂商牢牢掌控政企安全入口。

与传统厂商不同，阿里云、腾讯云、百度智能云等云服务商选择从基础设施与平台层入手，将安全能力直接 " 内建 " 到 AI 的全生命周期中。

在实际落地上，这类厂商普遍在模型托管、推理调用、插件接入、Agent 编排等环节，默认启用安全控制策略，并将身份、权限、数据、模型版本与 AI 使用过程进行强绑定。例如阿里云在其大模型服务平台中，将 API 调用鉴权、Prompt 审计、RAG 数据访问权限作为默认能力；腾讯云在企业大模型平台中，将模型调用与企业 IAM、日志审计、数据分级打通；百度智能云则在 Agent 构建框架中限制外部工具调用权限，降低模型 " 越权执行 " 风险。

这类厂商由于安全能力被嵌入到主路径中，其边际成本几乎为零。尤其在 Prompt 注入、RAG 检索污染、Agent 工具滥用等新型攻击面上，平台级约束明显比事后检测更具规模效率。

另一类重要玩家，是聚焦细分场景的垂直安全厂商。以数美科技为例，其长期深耕内容安全、反欺诈、黑产行为建模。在生成式 AI 场景下，数美将原有的风控模型迁移至 AI 滥用治理中，用于识别恶意 Prompt、自动化诈骗脚本生成、虚假内容批量生成等行为。据公开案例，其在部分社交与内容平台中，AI 滥用识别的命中率已高于 90%。

这类厂商的优势在于专业能力聚焦，模型对抗经验深。能高风险场景中提供不可替代价值。

近年来，也有一批原生 AI 安全厂商正快速崛起。这类公司并非从传统安全体系演进而来，而是直接聚焦模型本体与智能体层，从设计阶段降低风险。这类厂商通常技术迭代快、对新型对抗攻击高度敏感，在模型级安全上具备先发优势。

综合来看，在生成式 AI 的持续压力下，安全产业的分工正在重排。不同位置的厂商，正从各自的切口出发，共同托起一套亟需重构、尚未定型的 " 新安全体系 "。

当安全被推到 AI 选型的前台，一个绕不开的问题也随之浮现：安全是不是越强越好？是否存在足够安全？

答案并不乐观。OpenAI 曾在公开研究中给出过一组判断：在 AI 浏览器、Agent 等场景中，提示注入属于结构性风险。即便持续加固，安全系统也无法做到 100% 拦截，最优状态，最优防护仅能将攻击成功率压至 5%-10%。

这一点，在数美科技 CTO 梁堃的判断中同样明确：" 当前实现对黑灰产的百分之百阻断，并不现实。"

不过，需要澄清的是，并非所有 AI 场景都把安全放在第一位。

在大量探索性与边缘业务中，企业依然会选择效果优先。例如内部知识助手、营销内容生成、数据分析 Copilot，这些场景要么不接触敏感数据，要么不具备执行权限，即便模型出现偏差，风险也相对可控。在这些场景中，企业更关心的是投入产出比，而非安全治理的完备性。

真正发生转折的，是 AI 开始进入核心业务链路之后。在涉及客户数据、交易决策、生产调度、风控审核等场景中，企业往往会迅速收紧策略，将安全前置为硬约束。

这种认知转变，直接带来了三种明显的使用方式变化。

第一种转向，是从 " 能跑 " 到 " 能控 "。

在安全前置后，企业普遍开始限制模型可触达的数据范围。原本可以全量接入的数据，被拆解为分级、分域、分场景使用；RAG 检索不再 " 全库召回 "，而是限定在经过审核的知识集合中。这可能会导致模型在某些任务上的准确率可能下降，召回率受到影响，业务侧不得不投入更多精力进行数据治理与结构化整理。

不过，这并非技术倒退。对企业而言，宁愿牺牲部分效果，也不愿承担不可控风险。

第二种转向，是从 " 可用 " 到 " 可审 "。

随着 AI 被纳入正式生产环境，是否具备审计与留痕能力，成为一道关键门槛。Prompt 是否可追溯？模型引用了哪些检索内容？Agent 调用了哪些工具、在什么时间、以什么权限执行？这些原本属于工程细节的问题，开始被写进验收清单。

这会直接导致系统复杂度和成本上升，比如调用链变长、延迟增加、算力消耗提高。但在 ToB 场景中，可解释性往往比极致效率更重要。能不能说清楚发生了什么，开始成为比跑得快不快更重要的指标。

第三种转向，则是从 " 自动化 " 到 " 半自动化 "。

在很多核心业务场景中，企业并未选择让 Agent 全自动执行，而是采用 " 建议 + 人审 + 执行隔离 " 的模式。AI 给出决策建议，人类完成最终确认，关键操作与生产系统隔离。这种模式显然拉长了流程，也限制了调度规模，但它符合当前企业对风险的容忍度。

在这一阶段，安全的作用不再是提升拦截率，而是防止系统失控。也正是在这样的实践中，企业逐渐形成了清晰的内部分层。边缘业务可以容忍更多不确定性，安全要求相对靠后；核心业务必须安全前置，且允许的自动化程度明显更低。

值得注意的是，这种分层并非一成不变。随着安全能力的成熟、治理经验的积累，部分原本需要人工介入的环节，可能会逐步放权给 AI。

从这个角度看，AI 时代的安全，已经不再是 " 有没有 " 的问题，而是 " 管到什么程度 " 的问题。通过限制数据、收紧权限、引入审计，把不可避免的风险控制在企业可以接受的范围之内。这种安全实践的深化，不仅改变了企业自身对 AI 治理的路径，也使得整个产业对 AI 安全的认知正在发生根本性转向。

写在最后：

可以预见，在相当长的一段时间里，AI 安全都不可能靠一次性方案彻底解决。

在此过程中，企业对 AI 的使用会持续分化，即边缘业务更看重效率和产出，而核心业务则会保持长期审慎。自动化不会简单地 " 一步到位 "，而是围绕权限控制、审计机制和责任边界逐步推进。AI 的能力会不断增强，但它被允许自主决策的空间，并不会必然同步扩大。

对安全产业来说，这同样是一轮长期调整。单纯依赖事后检测的价值将持续下降，能够参与系统设计、权限治理和运行约束的能力，反而会变得越来越关键。安全不再只是一个独立产品，而更像是 AI 系统运行的前提条件。

从这个角度看，AI 是否真正大规模进入核心业务，关键不在于模型能力又提升了多少，而在于一旦出现问题，系统能否被及时停下，过程能否被追溯，责任能否被清晰界定。

在这些问题解决之前，安全都会是 AI 落地过程中最现实、也最难绕开的门槛。