• 13% 的受訪企業(yè)表示其 AI 模型或應(yīng)用曾出現(xiàn)安全漏洞； 8% 表示不確定企業(yè)是否有安全漏洞； 
• 97% 遭遇AI安全漏洞的企業(yè)均尚未建置 AI 存取控制機(jī)制；
• 60% 的 AI 安全事件造成數(shù)據(jù)洩露，31% 造成營(yíng)運(yùn)中斷。 

臺(tái)北2025年8月4日 /美通社/ -- IBM 近日公布《2025數(shù)據(jù)洩漏成本報(bào)告》警示，目前企業(yè)應(yīng)用AI 的速度遠(yuǎn)超過(guò)其建置AI安全與治理，然而許多企業(yè)為了讓AI 應(yīng)用快速上線而忽略AI安全與AI治理。缺乏監(jiān)管的AI系統(tǒng)更容易遭受攻擊，且造成的損失更為重大。 

IBM 近日公布《2025數(shù)據(jù)洩漏成本報(bào)告》警示，目前企業(yè)應(yīng)用 AI 的速度遠(yuǎn)超過(guò)其建置AI安全與治理，然而許多企業(yè)為了讓 AI 應(yīng)用快速上線而忽略安全與治理。缺乏監(jiān)管的 AI 系統(tǒng)更容易遭受攻擊，且造成的損失更為重大。

今年的報(bào)告首次針對(duì) AI應(yīng)用的安全防護(hù)、治理機(jī)制、與控制訪問(wèn)狀況進(jìn)行研究；儘管研究結(jié)果顯示曾出現(xiàn)AI相關(guān)安全漏洞的企業(yè)僅佔(zhàn)採(cǎi)訪樣本的 13%，AI應(yīng)用已經(jīng)成為門檻低、商業(yè)價(jià)值高的網(wǎng)路攻擊目標(biāo)。 

IBM 安全和營(yíng)運(yùn)產(chǎn)品副總裁 Suja Viswesan 指出，報(bào)告結(jié)果顯示AI 應(yīng)用與治理之間的斷層已經(jīng)存在，駭客正伺機(jī)而動(dòng)。企業(yè)的AI 應(yīng)用普遍缺少基本的存取控制，導(dǎo)致機(jī)敏資料被洩漏、模型可以輕易被篡改。隨著 AI 技術(shù)更多、更深、更廣地融入企業(yè)流程，AI安全防護(hù)必須成為基礎(chǔ)與重心。不作為的代價(jià)不僅損失金錢，更將損害客戶的信任、企業(yè)的透明度與自主權(quán)。

這份報(bào)告也提出一份比較資料：企業(yè)若在其安全業(yè)務(wù)領(lǐng)域廣泛應(yīng)用AI 與自動(dòng)化技術(shù)，其資料洩露損失平均減少 190 萬(wàn)美元，處理數(shù)據(jù)洩漏事件的週期平均減少 80 天。 

這份報(bào)告由IBM 主持與分析、Ponemon Institute 執(zhí)行訪問(wèn)；資料來(lái)自於 2024 年 3 月至 2025年 2 月全球 600 家發(fā)生過(guò)數(shù)據(jù)洩露的企業(yè)。報(bào)告的關(guān)鍵發(fā)現(xiàn)包括：

AI 時(shí)代的企業(yè)安全漏洞發(fā)生領(lǐng)域：

• AI 治理政策：63% 曾發(fā)生過(guò)數(shù)據(jù)洩露的企業(yè)尚未建立 AI 治理政策或仍在規(guī)劃階段。已經(jīng)制定AI 治理政策的企業(yè)裡，僅有 34% 定期審查未受批準(zhǔn)的 AI 工具。 
• 「影子 AI」的代價(jià)：五分之一的企業(yè)曾因影子 AI現(xiàn)象（未經(jīng)公司同意或監(jiān)管的AI工具）導(dǎo)致數(shù)據(jù)洩露，僅 37% 的企業(yè)制定了管理或偵測(cè)影子 AI 的政策。與較少出現(xiàn)影子AI的企業(yè)相比，發(fā)生率高的企業(yè)其平均數(shù)據(jù)洩露成本多出 67 萬(wàn)美元。涉及影子 AI 的安全事件導(dǎo)致個(gè)人身份資訊 (65%) 和智慧財(cái)產(chǎn)權(quán) (40%) 洩露的比例，遠(yuǎn)超過(guò)全球平均值（分別為 53% 和 33%）。 
• 由AI 驅(qū)動(dòng)的智慧型攻擊：16% 的數(shù)據(jù)洩露事件涉及駭客使用AI 工具；主要用於網(wǎng)路釣魚(yú)或發(fā)動(dòng)深度偽造的網(wǎng)路攻擊。

數(shù)據(jù)洩漏的經(jīng)濟(jì)損失：

• 數(shù)據(jù)洩漏成本：全球數(shù)據(jù)洩漏平均成本下降到 444萬(wàn)美元，是近五年來(lái)首次下降；但美國(guó)企業(yè)的平均數(shù)據(jù)洩漏成本卻高達(dá) 1,022萬(wàn)美元。
• 處理數(shù)據(jù)洩露的全球平均週期創(chuàng)新低：隨著更多企業(yè)執(zhí)行內(nèi)部漏洞檢查，讓全球處理數(shù)據(jù)洩露的平均週期（含恢復(fù)服務(wù)的漏洞識(shí)別與處理時(shí)間）縮短至 241 天，較前一年減少 17 天。與被外部攻擊的洩漏事件相比，透過(guò)內(nèi)部檢測(cè)發(fā)現(xiàn)漏洞的企業(yè)平均減少損失達(dá)90 萬(wàn)美元。 
• 醫(yī)療照護(hù)業(yè)的數(shù)據(jù)洩露成本仍居首位。儘管醫(yī)療行業(yè)的資料洩露成本較 2024 年減少 235 萬(wàn)美元，其 742 萬(wàn)美元的平均損失仍在本次調(diào)查的所有行業(yè)中居首位。醫(yī)療業(yè)的安全漏洞識(shí)別與控制週期長(zhǎng)達(dá) 279 天，比全球均值241 天多五週以上。 
• 更多企業(yè)抵制駭客勒索：企業(yè)拒絕支付贖金的比例增加，63% 的機(jī)構(gòu)選擇拒絕支付勒索贖金，2024 年的比例為 59%。儘管有更多企業(yè)抵制勒索，敲詐及勒索軟體事件的平均成本仍居高不下 — 尤其是被駭客攻擊時(shí)，損失高達(dá) 508 萬(wàn)美元。 
• AI 風(fēng)險(xiǎn)攀升，但企業(yè)對(duì)投資AI安全措施的動(dòng)能卻不足：計(jì)畫在經(jīng)歷數(shù)據(jù)洩漏事件後增加安全投資的企業(yè)比例顯著下降，從 2024 年的 63% 降至2025年的 49%。而在計(jì)畫追加投資AI安全的企業(yè)裡，建置以 AI 驅(qū)動(dòng)的安全方案或服務(wù)的企業(yè)不到一半。 

數(shù)據(jù)洩漏的「長(zhǎng)尾效應(yīng)」：營(yíng)運(yùn)中斷 、營(yíng)運(yùn)成本增加

• 根據(jù) IBM《2025年數(shù)據(jù)洩漏成本報(bào)告》，幾乎所有受訪企業(yè)在數(shù)據(jù)洩露後都發(fā)生業(yè)務(wù)中斷。大多數(shù)企業(yè)報(bào)告回復(fù)平均耗時(shí)超過(guò) 100 天，可見(jiàn)業(yè)務(wù)中斷的嚴(yán)重程度。
• 數(shù)據(jù)洩露的影響不僅止於漏洞控制：近半數(shù)企業(yè)表示計(jì)畫因洩露事件提高商品或服務(wù)的價(jià)格，其中近三分之一的企業(yè)漲價(jià)幅度達(dá) 15% 或更高。

關(guān)於 IBM《數(shù)據(jù)洩露成本報(bào)告》 

IBM 《數(shù)據(jù)洩露成本報(bào)告》在過(guò)去 20 年累計(jì)調(diào)查研究約 6,500 起數(shù)據(jù)洩漏事件。自 2005 年首次發(fā)布以來(lái)，數(shù)據(jù)洩露事件的本質(zhì)已發(fā)生巨大的變化：早期企業(yè)風(fēng)險(xiǎn)主要來(lái)自實(shí)體層面；如今，網(wǎng)路攻擊已全面數(shù)位化且具有更強(qiáng)的針對(duì)性，數(shù)據(jù)洩露事件的背後是一系列更複雜的惡意活動(dòng)。 

隨著企業(yè)加速AI 應(yīng)用，2025年的《資料洩露成本報(bào)告》首次聚焦以下領(lǐng)域：AI 安全防護(hù)與治理機(jī)制現(xiàn)狀、AI 安全事件中的目標(biāo)資料類型、AI 驅(qū)動(dòng)型攻擊的關(guān)聯(lián)損失、影子 AI的氾濫程度及風(fēng)險(xiǎn)特徵。結(jié)合往期報(bào)告中的研究發(fā)現(xiàn)： 

• 2005 年：近半數(shù) (45%) 的數(shù)據(jù)洩露因遺失筆記型電腦或隨身碟等設(shè)備引發(fā)，僅有 10% 源於電腦系統(tǒng)被入侵。 
• 2015 年：雲(yún)端環(huán)境的配置錯(cuò)誤尚未被列為獨(dú)立威脅類別；如今已成為主要攻擊目標(biāo)。
• 2020 年：勒索軟體攻擊數(shù)量激增；2021 年關(guān)聯(lián)洩露平均成本達(dá) 462 萬(wàn)美元，2025年該數(shù)字攀升至 508 萬(wàn)美元（前提是事件由攻擊者發(fā)動(dòng)）。 
• 2025 年：今年首次納入研究的 AI 安全領(lǐng)域正快速成為高價(jià)值的攻擊目標(biāo)。 

其他資訊： 

• 下載完整《2025 年資料洩露成本報(bào)告》原文版
• 註冊(cè)參加於美國(guó)東部時(shí)間 2025 年 8 月 13 日上午11點(diǎn)舉行的網(wǎng)路研討會(huì)。 
• 閱讀IBM 署名文章，掌握更多關(guān)於這份報(bào)告的發(fā)現(xiàn)：2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security

關(guān)於 IBM

IBM 是全球領(lǐng)先的混合雲(yún)、人工智慧及企業(yè)服務(wù)提供者，服務(wù)遍及全球 175 多個(gè)國(guó)家。IBM 協(xié)助企業(yè)從資料中獲得商業(yè)洞察、簡(jiǎn)化流程、降低成本並增強(qiáng)競(jìng)爭(zhēng)力。來(lái)自金融服務(wù)、電信和醫(yī)療等關(guān)鍵領(lǐng)域的機(jī)構(gòu)，採(cǎi)用 IBM 混合雲(yún)平臺(tái)及 Red Hat OpenShift 進(jìn)行數(shù)位轉(zhuǎn)型。IBM 在人工智慧、量子運(yùn)算和產(chǎn)業(yè)導(dǎo)向的雲(yún)端解決方案及企業(yè)服務(wù)領(lǐng)域持續(xù)創(chuàng)新，為客戶提供開(kāi)放且靈活的選擇。公司秉持誠(chéng)信、透明治理、社會(huì)責(zé)任、多元包容的企業(yè)文化，奠定了 IBM 的業(yè)務(wù)基石。

臺(tái)灣 IBM 公司新聞室：https://taiwan.newsroom.ibm.com/

新聞聯(lián)絡(luò)
Kate Liu
IBM 公司公關(guān)部
kateliu@cn.ibm.com

相關(guān)股票: NEO:IBM NYSE:IBM