IBM 最新报告称，美国数据泄露成本升至 1022 万美元

IBM《数据泄露成本报告》显示：全球泄露成本下降，但美国成本上升。最显著的变化在于新兴影响因素的出现——AI在攻击与防御中的双重作用。

全球平均数据泄露成本降至444万美元（五年来首次下降），但美国平均成本升至创纪录的1022万美元。数据泄露生命周期（驻留时间与修复时间之和）缩短至241天——创历史新低，较上年减少17天。

美国数据泄露成本较高与区域安全水平或AI影响关联有限。IBM X-Force情报部门副合伙人Kevin Albano解释：“尽管美国企业采用AI防御的比率略高，但其泄露成本仍连年居首。差异源于多重因素，包括检测与处置成本同比激增14%（部分由劳动力成本上升驱动），以及更高的监管罚款。”

AI的双刃剑效应

本年报告核心结论是：无论善恶，AI时代已至——犯罪分子的重视程度甚至超过防御方。AI正成为高价值目标：

1. 13%的泄露事件涉及AI模型或应用，其中97%的案件无访问控制
2. 相关泄露导致60%的数据失窃与31%业务中断
3. 安全治理在AI部署过程中被严重忽视

访问控制的缺失暴露了安全理念的崩塌，Albano指出根源在于：“企业急于利用AI实现自动化降本，但AI系统的复杂性与新颖性使安全实践仍在演进中。”

攻击技术的迭代

供应链攻击占AI相关泄露的30%，涉及应用、API及插件漏洞。直接操纵AI的三大技术占比更高：

1. 提示词注入（Prompt Injection）：17%
2. 模型规避（Model Evasion）：21%
3. 模型反演（Model Inversion）：24%

随着防护机制强化，攻击者转向上下文操纵技术。Albano阐释差异：“模型反演旨在重构训练数据，模型规避通过操纵输入诱发错误输出，提示词注入则通过篡改指令影响AI行为。”

防御价值的实证

采用AI驱动的企业显著降低泄露成本：

1. 使用AI加速攻击检测的企业，泄露生命周期缩短108天
2. 全面部署AI安全方案的企业，平均节省153万美元成本

攻击效率的质变

生成式AI使网络攻击效率飞跃：

1. 钓鱼攻击占比16%（首次超越凭证窃取成为主要攻击媒介）
2. 单次钓鱼攻击成本达480万美元
3. AI伪造钓鱼邮件耗时从16小时压缩至5分钟

Albano强调：“犯罪分子利用信息窃取器（Infostealers）掠夺密码、浏览记录、键盘输入等数据，这些工具已成为网络犯罪支柱。”

报告采用统一核算模型：

1. 成本涵盖检测响应、通知、事后处置及业务损失四环节
2. 分析样本排除极大规模/极小规模泄露事件（记录数介于2960至113620条）
3. 基于作业成本法（Activity-Based Costing）进行实际消耗分摊
4. 尽管未披露全部泄露的企业数据可能影响绝对值准确性，但历年方法论一致性确保了趋势可比性。

---

消息来源：securityweek；

本文由 HackerNews.cc 翻译整理，封面来源于网络；