你的企業(yè)還在All in AI嗎？先看看這份“免責(zé)聲明”

想象一個場景：你所在的公司正熱火朝天地將AI融入核心業(yè)務(wù)流程，效率飆升，前景一片光明。但如果有一天，這個AI系統(tǒng)因為一次“幻覺”或被惡意利用，造成了數(shù)千萬甚至上億美元的損失，誰來為這個巨大的黑洞買單？當(dāng)你向保險公司索賠時，卻收到一紙冰冷的回應(yīng)：“抱歉，AI風(fēng)險，我們不保。”

這并非危言聳聽，而是正在發(fā)生的現(xiàn)實。一場圍繞AI風(fēng)險的“保險大撤退”已經(jīng)悄然拉開序幕。

保險巨頭“拉黑”AI，風(fēng)險敞口誰來扛？

根據(jù)《金融時報》的重磅報道，包括AIG、Great American及WR Berkley在內(nèi)的全球保險業(yè)巨頭，正在向美國監(jiān)管機構(gòu)申請，在他們的企業(yè)責(zé)任險保單中，明確加入“人工智能應(yīng)用除外條款”。

這意味著什么？簡單來說，未來因AI系統(tǒng)缺陷、誤用或被攻擊而導(dǎo)致的商業(yè)損失，傳統(tǒng)保險可能一分錢都不會賠。

保險公司給出的理由直截了當(dāng)：AI，尤其是一些基礎(chǔ)大模型，對他們而言是一個“極度不透明的黑箱”。更可怕的是，它所帶來的不是單一的、可預(yù)測的風(fēng)險，而是一種可能在瞬間引爆的系統(tǒng)性風(fēng)險。

一位AON保險經(jīng)紀(jì)公司的代表一針見血地指出：

“保險公司或許能夠消化單一企業(yè)4億美元的損失，卻無力應(yīng)對因單一AI代理失誤而瞬間引發(fā)的成千上萬起并發(fā)賠案。”

這種由一個點（單一AI模型）的崩潰，引發(fā)一個面（成千上萬家企業(yè)）的集體索賠，就是所謂的“索賠海嘯”。對于精于風(fēng)險計算的保險業(yè)來說，這無疑是無法估量的“核風(fēng)險”。

三大案例敲響警鐘：AI風(fēng)險不再是“狼來了”

如果說“系統(tǒng)性風(fēng)險”還略顯抽象，那么過去一年中發(fā)生的真實案例，則足以讓我們驚出一身冷汗。這些不再是孤立的技術(shù)故障，而是AI風(fēng)險失控的明確信號。

1

“AI幻覺”的誹謗天價賬單

今年3月，谷歌的AI Overview功能在搜索結(jié)果中，錯誤地指控一家太陽能公司涉訴。這個由AI憑空捏造的“事實”，給該公司帶來了毀滅性的聲譽打擊，并引發(fā)了一場高達1.1億美元的索賠訴訟。試想，如果這個AI模型被更廣泛地集成到各種商業(yè)應(yīng)用中，一個“幻覺”可能同時讓成百上千家公司蒙受不白之冤。

2

“失控客服”的無限責(zé)任

去年，加拿大航空（Air Canada）的AI聊天機器人，在沒有權(quán)限的情況下，向客戶“承諾”了一項它自己設(shè)計的折扣方案。當(dāng)航空公司拒絕兌現(xiàn)時，用戶一紙訴狀將其告上法庭，最終法院裁定：AI說的話，公司得認。這起案件開創(chuàng)了一個危險的先例，企業(yè)需要為AI的“胡言亂語”承擔(dān)無限責(zé)任。

3

“數(shù)字孿生”的精準(zhǔn)詐騙

這可能是離我們安全從業(yè)者最近的一個案例。去年，倫敦工程巨頭Arup的一名員工，接到了一場來自“CFO”的視頻會議。會議中，“CFO”和多位“高管”的音容笑貌都極其逼真，最終該員工在“領(lǐng)導(dǎo)”的指示下，轉(zhuǎn)出了高達2500萬美元。事后才發(fā)現(xiàn)，整場會議都是攻擊者利用高管的公開信息，生成的“數(shù)字孿生”深度偽造（Deepfake）影像。

這三個案例，分別代表了AI在內(nèi)容生成、決策執(zhí)行和身份偽造三個層面的失控風(fēng)險。它們共同指向一個結(jié)論：當(dāng)AI深度融入業(yè)務(wù)，其潛在的破壞力將被指數(shù)級放大。

保險“退圈”后，安全從業(yè)者的“新戰(zhàn)場”

當(dāng)保險這一傳統(tǒng)風(fēng)險轉(zhuǎn)移的最后防線開始瓦解，皮球最終會被踢回給誰？答案是：企業(yè)自身，以及負責(zé)守護企業(yè)的我們——網(wǎng)絡(luò)安全從業(yè)者。

這不僅僅是CFO的財務(wù)問題，更是CISO（首席信息安全官）和每一位安全工程師必須直面的新挑戰(zhàn)。這意味著：

1. 風(fēng)險評估模型必須重構(gòu)：傳統(tǒng)的風(fēng)險評估，可能并未充分考慮AI作為新型攻擊向量和內(nèi)部風(fēng)險源的權(quán)重。我們需要將AI模型本身視為核心資產(chǎn)，對其進行獨立的、持續(xù)的脆弱性評估和風(fēng)險建模。

2. AI治理成為安全必修課：推動建立企業(yè)內(nèi)部的AI安全治理框架迫在眉睫。這包括AI應(yīng)用的安全準(zhǔn)入、數(shù)據(jù)喂養(yǎng)的合規(guī)性、模型輸出的監(jiān)控與審計、以及AI相關(guān)事件的應(yīng)急響應(yīng)預(yù)案。

3. 攻防認知需要迭代：我們不僅要防御傳統(tǒng)的網(wǎng)絡(luò)攻擊，更要理解如何防御針對AI的攻擊（如模型投毒、提示詞注入、對抗性攻擊），以及如何應(yīng)對利用AI發(fā)起的更高級的攻擊（如Arup案例中的Deepfake）。

保險業(yè)的“退縮”，實際上是市場用最殘酷的方式，為AI風(fēng)險投下了一張不信任票。但這也為我們安全行業(yè)劃出了一條新的、價值千金的賽道。誰能率先建立起一套行之有效的AI安全防御體系和風(fēng)險管控機制，誰就能在未來的商業(yè)競爭中，為企業(yè)構(gòu)建最堅實的護城河。

這不再是選擇題，而是生存題。當(dāng)風(fēng)險無法轉(zhuǎn)移，我們唯一能做的，就是直面它，管理它，最終戰(zhàn)勝它。各位同仁，新的戰(zhàn)場，已經(jīng)開啟。