随着网络安全和人工智能领域的快速发展,相关的风险也不断增加。根据ISC2的报告,网络犯罪的成本正在飙升,而网络安全专业人才的短缺达到了近480万。同时,ISACA的2024年网络安全报告显示,近一半的受访者声称没有参与人工智能AI解决方案的开发、入职或实施。
这就引出了一个关键问题:AI能否帮助缩小这一差距,还是会无意中加剧未来的网络安全挑战?
在基于我对2024年的预测的基础上其中许多风险依然有效,我为2025年识别了一些突出的威胁,主要集中在运营安全风险和AI带来的新挑战上。虽然许多显著的威胁可能会被遗漏,但这些预测旨在强调我认为在塑造网络安全和AI领域中更紧迫的关注点。
回顾2024年最具影响力的事件,关于它是技术失败还是安全事件的争论颇多。然而,一个重要的结论是,许多公司乃至国家对单一供应商或系统的脆弱依赖。这种依赖加大了因单一漏洞引发的全球拒绝服务事件的风险。管理韧性远非易事;一线的工作人员清楚其中的实际和财务挑战。解决方案是大举投资复杂的备份系统并在瞬间切换供应商,还是更应关注更快地识别、反应和解决问题?
预测:类似于我们在2024年经历的另一个大规模事件几乎可以确定会发生。虽然下次可能不是CrowdStrike,但事件很可能源于另一个安全供应商的漏洞。黑客们可能已经从Crowdstrike的干扰中吸取了教训它会导致多米诺效应,并且这些工具通常需要深入且广泛的访问权限。预计2025年停机时间将显著延长,补丁的难度也会增加。
AI插件虽然可以提升工作效率,但往往带有绕过传统安全控制的隐患。这些漏洞通常发生在插件似乎按预期工作时,实际上在后台执行隐秘的操作。例如,在加密行业中,假钱包插件被用来欺骗用户,在连接数字钱包时窃取敏感数据或通过剪贴板监控来获取信息。随着AI代理的兴起,即使是看似无害的拼写检查、语法修正或生成式AI写作插件,也可能无意中暴露机密信息或为恶意软件打开大门。
小火箭ios账号购买组织需要采取主动措施,包括对插件进行严格审核,类似于全面的供应商风险评估VRA。从操作的角度来看,进行更强的防御包括强制使用公司管理的浏览器,默认阻止所有插件,并仅通过受控白名单批准已验证的插件。此外,组织在使用开源插件时也应保持谨慎。
预测:截至本文撰写时,约16个Chrome扩展程序被攻破,导致600000多名用户可能暴露于风险中。这只是个开始,我预计这一问题在20252026年将成倍恶化,主要源于AI插件的发展。你真的完全控制了浏览器插件的风险吗?如果没有,最好尽快着手。
Agentic AI能够自主决策的系统的增长在2025年引发了重大风险。公司和员工可能渴望部署AgenticAI机器人来优化工作流程和大规模执行任务,但这些系统失控的潜在威胁不容小觑。对抗性攻击和优化失调可能使这些机器人成为负担。例如,攻击者可能操控强化学习算法,发出不安全的指令或劫持反馈循环,利用工作流程进行危害。在某种情况下,
