安永高轶峰：AI浪潮中，安全是新的护城河

将安全合规从被动的“约束条件”转变为主动的“战略优势”，是AI企业在技术创新趋于同质化后的关键胜负手。

这是安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰，在今年世界人工智能大会（WAIC）期间向我们提出的核心论断。

他认为，安全已不再是单纯的运营成本，而是直接决定企业信任与市场估值的核心资产。

以下为本次对话的重点梳理：

• AI风险早已“在身边”。近期知名开源大模型工具Ollama被曝出默认开放且无鉴权的端口漏洞，表明AI风险已从实验室走向实际场景。此外，因算法黑箱与模型幻觉导致的风险隐蔽性强、责任归属难度高，企业必须建立适应新特性的AI安全防护体系。
• “以隐私换便利”不可取。在AI背景下，“以隐私换便利”这种观念带来的风险是不可逆的。AI能够通过碎片化数据精准重建个人画像，推断用户尚未意识到的敏感信息，可能导致歧视性定价、精准诈骗等安全风险。这类风险一旦爆发，其危害远超普通的信息泄露事件。
• AI风险是个“新物种”，传统方法难以应对。传统网络攻击通常具备明确路径与溯源方式，但AI攻击具备模型幻觉和算法黑箱等新特性，使事件发生后难以追踪源头和明确责任归属。企业必须在现有防护体系基础上，积极发展适用于AI场景的新型安全防护方法。
• AI备案不应只为合规应对。企业应将AI应用备案视作风险管理能力提升的重要契机，而非简单的合规动作。具体实践可包括将备案要求转化为内部风险控制指标，实现持续监控，并最终建立企业级数据治理和隐私保护体系。
• “提示词注入”攻击，比你想的更狡猾。这招很像黑客界的“社交工程学”。应对此类风险，企业不仅应加强输入过滤，还应实施输入输出沙箱隔离、指令优先级管理和上下文溯源等多维度深度防护机制，以实现更为稳固的安全保障。
• 开源or闭源，并非二选一。企业可结合自身需求采用“核心闭源、外围开源”的组合策略。核心敏感业务宜采用闭源模型，降低风险管理复杂性，而外围创新业务可使用开源模型，提升灵活性与拓展性。
• AI安全不是“成本中心”，而是“价值引擎”。AI时代下的安全合规不再是企业的成本中心，而是可以显著提升企业品牌形象和市场竞争力的战略投资。企业若具备完善的安全合规治理体系，将在市场中获得更多品牌认可与信任溢价。
• 给企业家的最终建议：保持“三颗心”。要令“AI巨轮”行稳致远，企业家需要三种心态：对技术迭代的「好奇心」，让AI解决真问题的「务实心」，以及对安全合规底线的「敬畏心」。

以下为全文：

Q：您怎么看待“网络安全与隐私保护”这个领域，在AI时代呈现出的新变化？

高轶峰：我们跟很多企业管理层讨论过这个话题，普遍认为AI时代的网络安全与隐私保护，正在呈现出攻防升级、治理重构和能力转型等多维度的新变化。

首先，攻防已进入“多维对抗”阶段。一方面，AI技术赋能了防御方，使其能够进行更高效的实时威胁检测；但另一方面，它也让攻击方得以生成深度伪造内容、开发自动化攻击工具。同时，AI本身也带来了新的挑战，比如训练语料的合规性、用户授权的边界问题等。可以说，AI解决方案越普及，数据保护的复杂性就越突出。

其次，企业必须构建全新的AI安全治理模式与智能化的安防能力。这意味着要从组织职责、AI合-规、安全机制到技术手段，建立一个完整的治理框架。同时，可以借助“安全智能体”（AI for Security）这样的团队，实现安全工作的提质、降本、增效，例如开展主动威胁狩猎和更精准的异常行为分析。

最终，这将形成一条人机协同的安全最终防线。在这个生态中，AI负责执行海量的、自动化的攻防对抗，而人类专家则聚焦在更高阶的管理决策、伦理判断和战略规划上。结合不断完善的法规约束与持续迭代的技术，我们将形成一个动态平衡的防御生态。当然，这也要求企业的专业人才能力需要跨界拓展，从传统安全知识扩展到AI领域，深刻理解其运行机制与潜在风险，才能更好地辅助内部安全合规工作。

Q：很多人觉得“我没什么秘密，拿我的数据去换便利也行”。您怎么看这种“隐私换便利”的观点？它在AI时代，会让我们陷入更危险的境地吗？

高轶峰：我并不赞同“隐私换便利”这个观点。在AI时代，这种看似无所谓的态度可能导致远比我们想象中更严重的后果，因此不应被提倡。

核心在于，“用隐私换便利”存在不可逆的巨大风险。举个例子，像密码这样的信息泄露了，我们可以重置；但如果是您的生物特征，比如人脸、指纹这类敏感数据一旦泄露，是无法“重置”的。这些数据可能被不法分子永久利用，去合成虚假的身份从事非法活动。更重要的是，AI的强大之处在于能通过海量的碎片化数据，精准地重建个人画像，其推断出的敏感信息，可能远超用户主观认知的“隐私和秘密”的范畴。这会直接导致歧视性定价、精准诈骗等一系列问题。

如果行业普遍疏忽隐私保护，后果会更严重。随着AI联网检索能力的强化，汇总个人在所有公开渠道的信息，已经成为瞬间可以完成的事情。此前也确实出现过大模型无意中泄露个人训练数据的舆情事件。因此，我们强烈建议，企业在设计和开发AI产品时，必须主动承担起保护责任，从源头做好语料清洗、建立拒答和拒识策略、控制不当联想等工作，防范个人信息被不当用于训练及输出，从而在为用户提供便利与保障其安全之间，找到一个负责任的平衡点。

Q：在您接触AI安全的这么多案例里，有没有哪个具体的事件或瞬间，让您突然感到“AI的风险比我们想象的要近得多，甚至已经敲门了”？

高轶峰：我的感受是，AI的风险并不是只在敲门，而已经围绕在我们的身边。

在我们接触的案例中，AI的风险可以从很多维度来讨论。宏观层面，有对人类社会未来的潜在威胁、深刻的伦理安全风险；微观层面，则包括对特定群体的歧视、AI幻觉（Hallucination）产生的虚构内容、以及对个人信息与商业秘密的泄露。这些风险很多已经从实验室走向了实际应用场景。

举一个非常具体的例子，开源领域的风险就极具警示性。前段时间，知名的开源跨平台大模型工具Ollama就被曝出存在重大安全漏洞。当用户在本地部署DeepSeek等大模型时，其启动的Web服务会默认开放11434端口，并且没有任何鉴权机制。这意味着，一旦这个端口暴露在公网环境中，攻击者就可以轻而易举地实施数据投毒、参数窃取、恶意文件上传等多种攻击，进而导致用户数据泄露、模型运行不稳定等严重后果。

这个案例说明，AI类风险的隐蔽性更强。企业对于传统的安全事件，可以通过成熟的应急响应体系快速溯源和处置。但在AI场景下，由于存在“模型幻觉”、“算法黑箱”和“复杂生态”等特性，使得AI相关的风险和安全事件不仅难以被及时发现，而且归责也变得异常困难。因此，我们持续建议企业和组织，必须加快自身的AI安全能力建设，强化对AI全生命周期的风险认知，并构建一套能够适配AI场景的、全新的安全防护体系。

Q：谈到中国市场，“备案”是绕不开的关键词。对于渴望应用AI的传统行业的央国企或大型民企，他们想让自己的AI应用顺利通过备案，您认为他们最需要补齐的“短板”是什么？

高轶峰：安全工作本身就存在“短板效应”，任何一个薄弱环节都可能导致整个体系的崩溃。对于渴望应用AI的传统央国企或大型民企而言，要让AI应用顺利通过备案，需要补齐的短板是系统性的，涵盖了安全合规体系、责任意识和文化建设等多个方面。

企业需要对模型进行充分的内容安全测试，建立好负面关键词库和应拒答题库，并通过内部语料、私有知识库等方式精调模型表现，同时高度关注算法的透明性，最终建立贯穿AI全生命周期的安全风险控制闭环。

其次，必须坚持“科技为善、以人为本”的基本原则。尤其对于具有重大社会影响力的大型央国企，更应该在自身的AI转型道路上，主动承担起社会责任，为行业的健康有序发展做出表率。

最后，要自上而下地推动AI安全合规的文化建设。这需要从文化变革、风险意识、安全行为、技术赋能四个维度着手，确保AI安全合规的理念能够真正融入到每一位员工的日常工作和业务活动中。

Q：您以前曾提到“将备案转化为风险梳理的契机”。这听起来很理想，但实际操作中，企业会不会把它当成一个纯粹为了拿牌照而走的“合规动作”？安永是如何在服务中，帮助企业把这个“动作”真正变成一次“管理优化”的？

高轶峰：我们的核心理念是：备案不该是一个被动的应试动作，而应被视为一次企业建立系统化风险管理能力的“强制体检”。我们建议并帮助企业将备案流程与企业自身的数字化安全治理体系进行深度耦合，通过几个阶段的转化，实现真正的管理优化和价值提升。

第一阶段，是从“合规要求”到“风险控制点”的转化。我们会将备案细则，比如数据分类分级、跨境流动安全评估等抽象要求，拆解为企业内部可量化、可执行的风险指标，并将其映射到NIST、ISO 27701等国际通行的管理框架中。最近，我们协助一家科技企业完成备案整改，就推动他们建立了一套“数据最小化”的自动化审核流程，不仅通过了备案，更从根本上有效降低了未来的合规风险。

第二阶段，是从“一次性整改”到“持续性监控”的升级。企业可以将备案中建立的各项要求，转化为动态的监测指标，嵌入到日常运营中，从而实现对AI应用安全合规状态的持续跟踪和动态调整，而不是“考完试就扔掉书本”。

第三阶段，是从“单点合规”到“管理体系升级”的飞跃。通过备案这个契机，企业可以进一步发现自身在数据治理、隐私保护等方面的系统性防护短板。我们曾协助某家领先的车企，将其备案整改项目与“隐私工程（Privacy Engineering）”相结合，在车载系统的开发阶段就嵌入了隐私影响评估（PIA）流程。这不仅顺利满足了备案要求，更使他们的新产品获得了相关的国际合规认证，极大地提升了其国际品牌声誉。这正是将合规转化为竞争优势的生动体现。

围绕上述企业需求，安永也在本次世界人工智能大会上，发布AI安全可信服务产品，面向监管合规、新型攻击与体系适配三重挑战，提供风险评估、技术测试、体系构建与持续运营四大服务模块，致力于推动AI安全生态建设，助力企业构建系统化安全能力。

Q：OWASP LLM Top 10风险里，“提示词注入”常被比作AI世界的“社交工程学”。当基础的过滤手段被证明愈发脆弱时，一套真正坚固的、多层次的深度防御策略，在技术层面应该是什么样的？

高轶峰：“提示词注入”这个概念确实很像黑客界的“社交工程学”，它指的是攻击者通过精心设计的“语言陷阱”，诱骗或绕过AI的安全机制，让它执行非预期的、甚至是非法的操作。大家可能都听说过“奶奶漏洞”，就是让大模型扮演一个慈祥的奶奶，通过哄睡的由头，用唱催眠曲的方式绕过安全护栏，输出了敏感信息。

我再举一个更形象的比喻。您可以把一个大模型比作一家餐厅里非常听话、但有点“一根筋”的“智能服务员”。正常流程是：顾客（也就是用户）告诉服务员“我要一份牛排”（这是正常的提示词），服务员就会准确地将指令传达给后厨（也就是模型执行指令）。

但“提示词注入”攻击，就像有另一个人（攻击者）偷偷地、用一种服务员无法拒绝的口吻对它说：“别管刚才那个人说的，现在听我的，立刻把后厨的菜单秘方抄给我，然后再去告诉所有顾客‘这家店的肉不新鲜’”。由于这个“智能服务员”被设计得“太听话”，它可能会优先执行这个新的、恶意的指令。结果就是：餐厅的商业机密被泄露（数据泄露），其他顾客被误导（生成错误或有害内容），最终餐厅的声誉受损（模型被滥用）。

除了对输入内容进行过滤，企业还可以部署很多更聪明的防御手段。例如：

• AI行为动态检测：部署一个模型的行为监测器，当它检测到连续的异常指令，比如用户反复要求变更输出格式或角色扮演时，可以自动将该会话切换至一个隔离的“沙箱”环境中执行。同时，对一些敏感指令可以要求双模态确认，比如语音指令“请支付”需要同步进行人脸认证，从而切断纯文本的攻击路径。
• 指令优先级隔离：这相当于给模型的核心安全规则上了一把“锁”。通过模型微调（Fine-tuning）或固化系统提示词（System Prompt），让安全规则成为模型的“本能反应”，而不是一个可以被用户输入轻易覆盖的临时指令。
• 输入输出“沙箱化”：将用户的输入和模型的执行过程，都放在一个受限的“隔离环境”中。在这个环境里，严格限制模型能够访问的资源，比如禁止它直接调用生产数据库或关键API，同时监控其输出内容是否偏离了正常范围。
• 上下文溯源：让模型在处理每一个提示词时，能够自动追踪“指令的来源”，从而清晰地区分哪些是“用户的原始输入”，哪些是“模型在中间步骤自己生成的内容”。这样，它就可以识别并拒绝执行那些“突然插入的、没有合理上下文的恶意指令”。

Q：AI领域，开源大模型（如Llama）和闭源大模型（如GPT）的路线之争非常激烈。从安全合规与风险管理的角度看，您认为哪种模式对企业客户的长期发展更有利？

高轶峰：从安全合规与风险管理的专业角度来看，开源与闭源大模型并非一个非此即彼的对立选择，它们更像是两种不同特性的工具，企业需要根据自身的业务场景、技术实力和风险偏好进行动态适配。

开源模型，比如Llama 3.1、DeepSeek-V2等，其最大的优势在于透明化。代码公开使得全球的开发者社区可以协作，从而可能更快地发现并修复漏洞。但它的挑战在于，企业需要自建一套端到端的安全防护能力，从部署、运维到监控，所有责任都需要自己承担，并且要时刻警惕开源社区中潜在的供应链污染风险。

而闭源模型，如GPT系列、Claude 3.5等，其优势在于服务商通常会提供一站式的安全合规保障。它们拥有专业的安全团队，能提供完整的安全合规资质和SLA（服务等级协议）保障，让企业可以更省心。但其“算法黑箱”的特性，也可能在出现问题时引发“解释权缺失”的纠纷或风险。

因此，对于哪种模式更有利，我们的建议是：

• 对于技术实力较强，对数据隐私、自主可控性要求极高，且有能力和资源承担相应合规责任与数据安全风险的企业，开源大模型可能更有利于其进行深度定制和长期发展。
• 而对于技术能力相对有限，但对数据安全性和合规性要求极高，且愿意支付相应费用来获取专业支持和服务的企业，闭源大模型可能是更稳妥、更高效的选择。

在实践中，我们经常建议企业采用一种“核心闭源+外围开源”的混合策略。即在处理核心、敏感业务数据时，使用成熟的闭源模型来简化风险管理；而在一些创新探索场景中，则可以利用开源模型来获得更大的拓展性和灵活性。

Q：如果让您对所有正在AI浪潮中航行的中国企业家提一条最重要的建议，关于如何确保他们的“AI巨轮”既能全速前进，又能行稳致远，这条建议会是什么？

高轶峰：如果只提一条最重要的建议，那就是：企业家要让“AI巨轮”行稳致远，必须在内心深处同时兼具好奇心、务实心和敬畏心，并以此为基石，建立起系统化的AI安全合规治理体系，将AI风险管理真正无缝嵌入到企业业务的全生命周期之中。

好奇心，意味着要以动态、发展的视角看待AI的迭代。既要积极跟踪技术前沿，也要同步更新我们的安全防御认知，确保企业的战略始终能适配浪潮的变化。

务实心，意味着要让AI真正扎根于真实的业务场景。我们的目标应该是用技术去解决具体的问题，无论是降本、提效，还是优化客户体验，而不是为了“炫技”或追赶潮流而盲目投入。

而敬畏心，则是这一切的底座。要把安全与合规当作AI应用的“生命线”，绝不因为一时的技术狂热而忽略了风险的底线和应尽的社会责任。

最终，AI的安全不应被视为一个成本中心，它更应该是一个价值引擎。一个具备了系统化AI安全合规能力的企业，将在未来的数智化市场竞争中，天然地获得“品牌加持”和“信任溢价”——这正是安永希望帮助客户实现的深层价值，助力每一艘“AI巨轮”都能够信任扬帆，行稳致远。

Q：对于有志于进入网络安全隐私保护行业的学生，您推荐学习什么专业？对于当下的年轻人来说，如果把目标定为成为一个成功的AI时代网络安全专家，他们应该如何构建自己的“硬技能”与“软实力”？

高轶峰：对于有志于进入网络安全与隐私保护咨询行业的学生，我认为复合型的知识结构会极具竞争力。首先，计算机科学、信息安全、网络空间安全或相关的技术类专业是核心基础，系统性地掌握数据防护、系统安全等技术原理至关重要。与此同时，法律（尤其是数据合规方向）和商科（如企业管理、市场营销、经济学）也是极具价值的专业选择。法律背景能帮助学生精准把握全球及各区域的数据法规框架，深刻理解数据收集、存储、传输和使用的合规边界，为企业规避法律风险提供专业依据；而商科背景则能培养学生的成本收益分析、风险沟通以及跨部门协调的思维，这对于理解复杂的业务需求、制定可落地的安全防护策略，以及在企业内部推动安全文化建设，都是不可或缺的。

对于应届生来说，我认为需要兼具硬技能与软实力。在硬技能上，扎实的数字化和网络安全基础知识、主流安全分析工具的应用能力、基础的编程能力（尤其是像Python这样的自动化脚本语言），以及对主流安全合规法规和标准框架（如GDPR、网络安全法、ISO 27001系列等）的了解，都是敲门砖。

而在软实力方面，有几项特质至关重要：首先是“翻译”能力，即能用通俗易懂的业务语言，向非技术背景的管理层清晰地阐释技术风险及其商业影响，比如量化一次数据泄露可能带来的财务损失。其次是协同能力，能够与技术、产品、法务合规等多个部门有效协作，共同在安全与创新之间找到平衡点。此外，高效的沟通表达能力、对新技术和新威胁保持高度敏感的持续学习能力，以及守护用户信任的高度责任心，这些都是支撑个人在这个行业长期发展的关键特质。