盡管全球數據泄露的平均成本降至 444萬美元，美國企業的相關損失卻攀升至 1022萬美元；

在遭遇數據泄露的企業中，僅有 49% 的企業計劃加強安全投入。

IBM 近日發布的《2025年數據泄露成本報告》顯示，當前 AI 應用的推進速度遠快于其安全治理體系的建設。該報告首次針對 AI 系統的安全防護、治理機制及訪問控制展開研究，盡管遭遇 AI 相關安全漏洞的機構在調研樣本中占比不高，一個既定事實是：AI 已成為高價值、低門檻的網絡攻擊目標。

13% 的受訪企業報告了 AI 模型或應用的安全漏洞，另有 8% 表示不確定是否遭遇過此類事件；

在遭遇 AI 安全漏洞的企業中，絕大部分（97%）尚未部署 AI 訪問控制機制；

由此導致60% 的 AI 安全事件造成數據泄露，31% 引發業務中斷。

本年度的調研結果揭示，許多企業為了加速 AI 應用而繞過安全治理。缺乏監管的 AI 系統更易遭受攻擊，且造成的損失更為慘重。

IBM 安全和運行時產品副總裁 Suja Viswesan指出：“數據表明 AI 應用與監管之間已存在斷層，網絡攻擊者正伺機而動。上述報告顯示，企業的 AI 系統普遍缺乏基本的訪問控制，導致敏感數據暴露、模型易被篡改。隨著 AI 深度融入業務運營，其安全防護必須成為重中之重。不作為的代價不僅是經濟損失，更將損害用戶信任、透明度和控制力。”

報告同時揭示：在安全運營中廣泛采用AI 與自動化技術的企業，其數據泄露損失平均減少 190萬美元，且處理周期平均減少 80天。

該報告由 Ponemon Institute 執行、IBM 贊助分析，數據來源于 2024年 3月至 2025年 2月全球 600家機構遭遇的數據泄露事件。該報告中關于 AI 安全漏洞、經濟損失及業務中斷的關鍵發現如下：

AI 時代的安全漏洞

AI 治理政策：在遭遇數據泄露的機構中，63% 尚未建立 AI 治理政策或仍在制定中。在已制定 AI 治理政策的機構中，僅有 34% 會對非授權 AI 工具進行定期審計。

影子 AI 的代價：五分之一的企業報告稱曾因影子 AI（非監管狀態下的 AI 工具使用）導致數據泄露，僅 37% 的企業制定了管理或檢測影子 AI 的政策。與較少使用影子 AI 的企業相比，使用率高的企業平均數據泄露成本多出 67 萬美元。涉及影子 AI 的安全事件導致個人身份信息 (65%) 和知識產權 (40%) 泄露比例遠超全球均值（分別為 53% 和 33%）。

AI 驅動的智能攻擊：研究顯示，16% 的數據泄露事件都涉及AI 工具的使用，主要用于網絡釣魚或借助深度偽造的網絡攻擊。

數據泄露的經濟損失

數據泄露的成本：全球數據泄露平均成本降至 444萬美元，為五年來首次下降，而美國企業的平均泄露成本卻創下 1022萬美元的新高。

全球泄露處理周期創新低：隨著更多企業實現內部漏洞自檢，全球平均泄露處理周期（含服務恢復的漏洞識別與控制時間）縮短至 241天，較上年減少 17天。相比被外部攻擊揭露的漏洞，通過內部檢測發現漏洞的機構平均減少 90萬美元損失。

醫療行業泄露成本仍居首位。盡管醫療行業的數據泄露成本較 2024年下降 235萬美元，其 742萬美元的平均損失仍在調研的所有行業中居首。該行業的漏洞識別與控制周期長達 279天，比全球均值（241天）多出 5周以上。

勒索支付被更多企業抵制。去年企業拒絕支付贖金的比例上升，63% 的機構選擇拒付（2024年為 59%）。盡管更多企業抵制勒索，敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時，損失高達 508萬美元。

AI 風險攀升下的安全投入增長乏力。2025年計劃在數據泄露后增加安全投入的企業比例顯著下降，從 2024年的 63% 降至 49%。而在計劃追加投入的企業中，關注 AI 驅動的安全方案或服務的機構不足半數。

數據泄露的長尾效應：運營中斷

根據 2025年《數據泄露成本報告》，幾乎所有受訪企業在數據泄露后都遭遇了運營中斷。這種中斷嚴重拖累了恢復進度，在報告恢復情況的企業中，大多數平均耗時超 100天。

然而，數據泄露的影響遠不止于漏洞控制階段：盡管比例同比有所下降，但近半數企業計劃因泄露事件提高商品或服務價格，其中近三分之一的企業漲價幅度達 15% 及以上。

關于《數據泄露成本報告》

《數據泄露成本報告》在過去 20年里累計調研了近 6500 起數據泄露事件。自 2005年首次發布以來，數據泄露事件的本質已發生巨變：早期風險主要來自實體層面，如今，網絡攻擊已全面數字化且針對性更強，泄露事件的背后是一系列更復雜的惡意活動。

隨著企業 AI 應用的加速，本年度《數據泄露成本報告》首次聚焦以下領域：AI 安全防護與治理機制現狀、AI 安全事件中的目標數據類型、AI 驅動型攻擊的關聯損失、影子 AI 的泛濫程度及風險特征。結合往期報告中的研究發現：

2005年：近半數 (45%) 數據泄露由筆記本電腦或 U 盤等設備丟失引發，僅 10% 源于電子系統遭入侵。

2015年：云環境的配置錯誤尚未被列為獨立威脅類別，如今已成主要攻擊目標。

2020年：勒索軟件攻擊激增，2021年關聯泄露平均成本達 462萬美元，到 2025年該數字攀升至 508萬美元（前提是事件由攻擊者披露）。

2025年：本年度首次納入研究的 AI 安全領域，正快速成為高價值攻擊目標。

關于 IBM

IBM 是全球領先的混合云、人工智能及企業服務提供商，幫助超過 175個國家和地區的客戶，從其擁有的數據中獲取商業洞察，簡化業務流程，降低成本，并獲得行業競爭優勢。金融服務、電信和醫療健康等關鍵基礎設施領域的超過 4000 家政府和企業實體依靠 IBM 混合云平臺和紅帽 OpenShift 快速、高效、安全地實現數字化轉型。IBM 在人工智能、量子計算、行業云解決方案和企業服務方面的突破性創新為我們的客戶提供了開放和靈活的選擇。對企業誠信、透明治理、社會責任、包容文化和服務精神的長期承諾是 IBM 業務發展的基石。