文章核心观点 - 人工智能已成为企业决策和运营的核心组成部分，但其快速应用正在改变网络安全风险格局，给企业治理带来了新的挑战，企业需将网络韧性融入AI采用过程以实现负责任和可持续的创新 [1][2][3][20] AI 采纳现状与认知 - AI 已不再是未来愿景，而是决定企业决策、服务交付和响应速度的现代企业核心要素 [2] - 一项针对超过800名高级IT领导者的全球调查显示，近四分之三（74%）的人认为，将AI整合到其组织中可能会增加遭受网络攻击的脆弱性 [4] AI 带来的网络安全风险演变 - AI 改变了风险行为，加速并更容易地扩散风险，使其对领导团队而言更难以理解和控制 [4] - AI技术被攻击者用于生成更具说服力的网络钓鱼活动、自动化侦察以及实时调整恶意软件 [6] - 欧洲网络安全局（ENISA）等研究表明，AI生命周期的每个阶段都可能产生漏洞，从而创造出许多欧洲组织仍在学习应对的新攻击面 [6] 组织内部动态加剧风险 - 影子AI的普遍化：员工为追求效率而频繁使用未经批准或授权的AI工具，导致在安全方面缺乏可见性、监督和管理，造成合规漏洞 [9][10] - 速度优先于韧性规划：由竞争驱动的AI计划往往追求快速实施和回报，却牺牲了恢复准备、监督和对事件处理方式的信心 [12] - 许多组织在复杂性增加的情况下，仍然过度依赖其从网络事件中恢复的能力 [12] 企业治理面临的新挑战 - AI风险不再仅仅是IT问题，它引发了关于合规、声誉、运营连续性和长期价值的治理问题 [7] - 核心治理风险在于，领导者对AI在组织内使用情况的认知与员工为求速度而在日常中实际使用AI的方式之间存在日益扩大的差距 [11] - 当AI驱动的系统以不透明或难以预测的方式运行时，董事会层面如何识别、测试和理解风险成为关键问题 [7] 网络韧性模型的必要演进 - 许多董事会层面的韧性模型是为可见、可测且大致可预测的风险设计的，而AI正悄然破坏这些假设 [14] - 恢复过程演进：向更自动化、可扩展的方向发展，因为手动响应难以跟上快速变化的复杂事件，更长的恢复时间会显著增加网络事件后的财务和运营损失 [15] - 测试方式改变：静态的年度恢复计划已不适用，政府研究指出需要在AI整个生命周期进行持续验证，而非基于清单的定期测试 [16] - 韧性作为设计原则：韧性正从流程末端活动转变为设计原则，监督、可见性和恢复能力需从一开始就内置到AI实施中，而非事后添加 [17] - 欧洲法规不断强调，组织必须能够证明其对AI驱动流程的控制和问责，即使这些系统在不断演进 [17] 对董事会的关键启示 - AI提供了战略机遇，但采用速度若超过监督和恢复规划，会在组织自以为更先进时悄然增加风险暴露 [18] - 关键问题已不再是是否采用AI，而是如何负责任地采用，对创新的信心必须与对恢复能力的信心相匹配 [19] - 成功的组织将是那些从一开始就将网络韧性纳入AI采用过程，进行有针对性的创新，并在日益复杂的威胁面前保持韧性的组织 [20]