企业AI系统应对九大网络安全威胁：从数据投毒到提示注入防范

当各大企业竞相追逐人工智能效益的热潮中，许多组织在部署AI工具和应用场景时，却忽视了至关重要的安全加固工作。专家警告，目前仍有大量机构尚未做好检测、防御或应对此类攻击的充分准备。

针对人工智能系统及其基础设施的攻击已在实际场景中开始显现，安全专家预测未来数年此类攻击将显著增加。

南佛罗里达大学Bellini人工智能、网络安全与计算学院副教授John Licato指出：“虽然大多数人都意识到了这类攻击的可能性，但极少有人真正了解如何有效降低风险。”

一、AI系统主要威胁类型

针对AI系统的攻击形式多样：数据投毒主要发生在训练阶段；对抗性输入则出现在推理阶段；而模型窃取通常发生于部署环节。以下是安全专家重点警示的九大AI基础设施威胁，部分攻击虽仍属理论范畴，但已有不少在真实环境中被发现或通过概念验证证实。

1. 数据投毒攻击

攻击者通过操纵、篡改和污染用于开发或训练AI系统（包括机器学习模型）的数据，使模型输出产生偏差或错误。安全培训机构SANS的首席研究员Robert T. Lee举例说明：“此类攻击可能导致模型将绿灯识别为停止信号，其根本目的是破坏模型输出质量。”

2. 模型投毒攻击

这类攻击直接针对模型架构或参数进行篡改，导致输出结果失真。在某些定义下，通过数据投毒破坏训练数据所导致的模型异常也属于模型投毒范畴。

3. 工具投毒攻击

这是由Invariant Labs在2025年春季发现的新型攻击方式，其通过利用模型上下文协议（MCP）漏洞，在工具描述中嵌入恶意指令。星座研究公司副总裁Chirag Mehta解释道：“这种攻击实质上是腐化MCP层，诱使智能体执行异常操作。”

4. 提示注入攻击

攻击者构造看似合法但内含恶意指令的提示词，诱导大型语言模型突破安全限制。全球咨询公司Ducker Carlisle首席数据与AI官Fabien Cros表示：“提示注入能够彻底改变AI智能体的预期行为。”近期已出现多起典型案例，包括让ChatGPT自我注入恶意提示、文档宏嵌入攻击等。

5. 对抗性输入攻击

黑客向模型输入精心设计的扰动数据（通常为细微改动或噪声），这些输入能逃过安全检测却足以干扰模型判断，属于典型的规避攻击手段。

6. 模型窃取/提取攻击

攻击者通过公开API反复查询模型，根据输出响应逆向还原模型架构、参数甚至训练数据。普华永道全球威胁情报总监Allison Wikoff指出：“这实质上实现了工具的未授权复制。”

7. 模型反演攻击

通过“反演”模型输出，攻击者试图重构或推断出原始训练数据。这种特殊提取攻击利用模型输出来逆向推导输入信息。

8. 供应链风险

AI系统依赖开源代码、第三方模型等组件，任何组件的安全漏洞都将传导至整个系统。近期研究显示，AI供应链威胁正在加剧而安全实践明显滞后。

9. 越狱攻击

攻击者通过角色扮演、编码混淆等技术使AI系统（主要是大语言模型）突破行为约束，可能引发恶意代码生成、敏感数据泄露等后果。Licato教授指出：“这是强大推理系统必须面对的双刃剑。”

二、AI威胁应对策略

在业务部门追逐AI效益时，首席信息安全官必须将AI安全提升至战略优先级。黑客众测平台HackerOne调查显示，84%的首席信息安全官已负责AI安全，82%监管数据隐私。星座研究公司Mehta强调：“AI安全需要管理层支持与跨部门协作，数据治理是基础保障。”

应对措施包括：部署前严格评估AI模型；运行中持续监控系统行为；采用红队测试模型健壮性；实施对抗性训练增强防御；采用MITRE ATLAS框架识别攻击手法。

普华永道网络与风险创新研究院负责人Matt Gorham指出：“首席信息安全官的关键任务是在构建基础设施时前瞻性地考量攻击场景。”尽管面临研究不足、资源有限等挑战，但专家一致认为：在AI竞赛中，安全绝不能成为事后考量。