IBM 發佈的《2025年數據洩露成本報告》顯示,人工智能應用的安全風險正快速上升。調研發現,13% 的企業曾出現 AI 模型或應用的安全漏洞,另有 8% 表示不確定。在遭遇 AI 安全事件的企業中,97% 尚未部署訪問控制機制,導致六成案例出現數據洩露,三成引發業務中斷。
報告指出,AI 正加速成為高價值攻擊目標。16% 的數據洩露事件涉及攻擊者利用 AI 工具,包括更具迷惑性的釣魚郵件與深度偽造攻擊。五分之一企業承認因「影子 AI」使用導致洩露,但僅 37% 制定了相關政策。與低使用率企業相比,影子 AI 使用頻繁的企業平均損失高出 67 萬美元,且個人身份信息與知識產權外洩比例更高。
全球範圍內,數據洩露的平均成本首次下降至 444 萬美元,但美國企業的損失卻升至 1,022 萬美元。醫療行業仍為最昂貴的領域,平均損失達 742 萬美元,且漏洞控制週期長達 279 天,比全球均值多出五週。相較之下,透過內部檢測發現漏洞的企業平均可節省 90 萬美元,並縮短 17 天恢復時間。
報告同時揭示企業安全投入不足。2025 年僅有 49% 的企業計劃在數據洩露後增加安全預算,低於去年的 63%。即使在計劃追加投入的企業中,選擇 AI 驅動安全方案的比例仍不足半數。IBM 強調,AI 治理政策普及度偏低,63% 遭遇洩露的企業尚未建立相關規範,僅有三分之一會定期審計非授權 AI 工具。
IBM 安全與運行時產品副總裁 Suja Viswesan 表示,AI 應用與監管之間的落差為攻擊者提供了可乘之機。「企業系統普遍缺乏基本的訪問控制,導致敏感數據暴露。隨著 AI 深度融入業務運營,其安全防護必須成為重中之重。不作為的代價不僅是經濟損失,更會損害信任。」
報告亦指出,積極在安全運營中引入 AI 與自動化的企業,平均損失可減少 190 萬美元,漏洞處理週期縮短 80 天。然而,數據洩露的長尾效應仍不容忽視。近半數企業表示會因事件調整產品或服務價格,其中近三分之一漲幅超過 15%。
本報告由 Ponemon Institute 執行、IBM 贊助分析,涵蓋 2024 年至 2025 年間全球 600 起數據洩露事件。自 2005 年首次發佈以來,該年度研究持續追蹤資訊安全趨勢。今年首次將 AI 安全納入重點範疇,突顯其已成為網絡攻擊的新戰場。
