微软Copilot中的一个关键安全漏洞可能使攻击者能够轻松访问私人数据,这有力地证明了生成式人工智能的真正安全风险。尽管首席执行官们对人工智能充满热情,但安全专业人员正敦促在安全和隐私方面进行更大的投资。
被称为EchoLeak的Microsoft Copilot漏洞在NIST(美国国家标准技术研究院)的国家漏洞数据库中被列为CVE-2025-32711,该漏洞的严重性得分为9.3。上周发现EchoLeak并与世界分享其研究的Aim Labs表示,“零点击”漏洞可能“允许攻击者在用户不知情的情况下,或依赖于任何特定的受害者行为,自动从M365 Copilot上下文中窃取敏感和专有信息。”微软在第二天修补了该漏洞。
EchoLeak为行业敲响了警钟,新的人工智能方法也带来了新的攻击面,因此也带来了全新的安全漏洞。Aim Labs表示,虽然似乎没有人受到EchoLeak的伤害,但根据微软的说法,这次攻击是基于“其他RAG应用程序和人工智能代理中存在的一般设计缺陷”。
这些担忧反映在过去一周发布的一系列研究中。例如,NTT DATA发布的一项针对2300多名GenAI高级决策者的调查发现,“虽然首席执行官和商业领袖致力于采用GenAI,但首席信息安全官和运营主管缺乏必要的指导、清晰度和资源,无法充分应对与部署相关的安全风险和基础设施挑战。”
NTT Data发现,99%的高管“正计划在未来两年内进一步投资GenAI,67%的首席执行官计划做出重大承诺。”该研究称,其中一些资金将用于网络安全,这是95%的首席信息官和首席技术官的首要投资重点。
NTT DATA表示:“然而,即使有这种乐观情绪,战略野心和运营执行之间也存在明显的脱节,近一半的首席信息安全官(45%)对GenAI的采用表示负面情绪。”“超过一半(54%)的首席信息安全官表示,关于GenAI责任的内部指导方针或政策不明确,但只有20%的首席执行官有同样的担忧,这表明策略和执行高管之间存在明显的差距。”
该研究发现,GenAI的希望和梦想与那些更接近现实的人的艰难现实之间存在其他脱节。近三分之二的首席信息安全官表示,他们的团队“缺乏使用该技术所需的技能”。此外,NTT DATA发现,只有38%的首席信息安全官表示他们的GenAI和网络安全战略是一致的,而51%的首席执行官表示认同这一点。
NTT DATA高级副总裁兼全球网络安全主管Sheetal Mehta表示:“随着组织加速采用GenAI,网络安全必须从一开始就嵌入其中,以增强弹性。虽然首席执行官们支持创新,但确保网络安全和业务战略之间的无缝协作对于缓解新兴风险至关重要。”“一种安全且可扩展的GenAI方法需要主动协调、现代化的基础设施和值得信赖的共同创新,以保护企业免受新兴威胁,同时释放人工智能的全部潜力。”
Nutanix发布的另一项研究发现,公共部门组织的领导者在采用人工智能时希望对安全进行更多投资。
该公司最新的公共部门企业云指数(ECI)研究发现,94%的公共部门组织已经在采用人工智能,例如用于内容生成或聊天机器人。随着他们对人工智能的IT系统进行现代化改造,领导者也希望他们的组织增加对安全和隐私的投资。
Nutanix表示,ECI表明“需要做大量工作来提高支持GenAI解决方案实施和成功所需的数据安全/治理的基础水平”。好消息是,96%的受访者认为安全和隐私正成为GenAI的优先事项。
Nutanix公共部门联邦销售副总裁Greg O'Connell表示:“生成式人工智能不再是一个未来的概念,它已经在改变我们的工作方式。”“随着公共部门领导人希望看到成果,现在是投资人工智能基础设施、数据安全、隐私和培训以确保长期成功的时候了。”
与此同时,Cybernews(一家东欧安全新闻网站,拥有自己的白帽研究团队)的工作人员分析了《财富》500强企业面向公众的网站,发现它们都在以某种形式使用人工智能。
Cybernews研究项目利用谷歌的Gemini 2.5 Pro Deep research模型进行文本分析,得出了一些有趣的发现。例如,研究发现,33%的《财富》500强企业表示,他们正在广泛使用人工智能和大数据进行分析、模式识别和优化,而约22%的企业正在将人工智能用于特定的业务功能,如库存优化、预测性维护和客户服务。
该研究项目发现,14%的人已经开发了专有的LLM(大语言模型),如沃尔玛的Wallaby或沙特阿美的Metabrain,而约5%的人正在使用OpenAI、DeepSeek AI、Anthropic、谷歌等第三方提供商的通用LLM服务。
该公司表示,虽然人工智能的使用现在无处不在,但这些公司在降低人工智能风险方面做得还不够。
Cybernews的高级安全研究员Aras Nazarovas在该公司6月12日的报告中表示:“虽然大公司很快就加入了人工智能的行列,但风险管理部分却落后了。”“公司面临着与人工智能相关的新风险。”
这些风险包括数据安全和数据泄露,Cybernews称这是最常提到的安全问题,以及其他问题,如及时注射和模型中毒。能源控制系统中产生的新漏洞——算法偏差、知识产权盗窃、不安全的输出和整体缺乏透明度——使这份清单更加完整。
Nazarovas表示:“随着企业开始应对新的挑战和风险,这可能会在未来几年对消费者、行业和更广泛的经济产生重大影响。”
NVIDIA DLI 与 Ai 时代前沿合作,将大门向更多普通用户敞开!无论你是对新技术充满好奇心的爱好者,还是希望提升自己技能的职场人士,这里都有适合你的课程和资源。
热门跟贴