.png)
2025年网络安全与人工智能预测:机遇与挑战并存的新时代
图片来源: Midjourney v6
网络安全和人工智能(AI)领域继续以惊人的速度演变,与之而来的风险也日益严重。根据Cybersecurity Ventures的预测,全球网络犯罪的年度损失将从2015年的3万亿美元攀升至2025年的10.5万亿美元。ISC2报告显示当前全球网络安全专业人员缺口接近480万,而ISACA在2024年末发布的网络安全状况报告显示近半受访者表示其企业尚未涉足AI方案的开发、引入或实施工作。
这引出了一个关键问题:AI是否会成为改善网络安全缺口的关键,还是会进一步加剧未来的网络安全挑战?
基于我2024年的预测(其中许多在今年仍继续构成风险),我列举了2025年的一些主要威胁,重点关注运营安全风险和AI带来的挑战。尽管无法涵盖所有威胁,但这预测旨在突出我认为对网络安全和AI领域最具影响的关键问题。
免责声明:
-
文中所有预测和观点仅代表作者个人意见。
-
文中配图由作者使用Midjourney生成图像,以增添视觉趣味。
-
文中每个预测附带的语录由不同语言模型(LLM)生成,但共享相同的核心AI人格设定并融合了几位哲学领袖的风格,仅为增加趣味性而作。
让我们看看这些语录是否能够捕捉到每个预测的核心思想。
图片来源: Midjourney v6
1
我们准备好迎接CrowdStrike 2.0了吗?
随着未来的不确定性增加,韧性在于敏捷——迅速适应,避免过度投资于成本高昂且往往存在缺陷的备份计划。前行的道路是一条河流,而非一条规划好的路径。
——ChatGPT v4o
预测:类似于2024年的大规模事件几乎肯定会再次发生。虽然下一次受影响的未必是CrowdStrike,但攻击很可能会源自另一个安全供应商的漏洞。黑客可能已经从Crowdstrike引发的中断事件及其多米诺效应中吸取了经验,意识到这些工具通常具有深入广泛的组织网络和终端用户设备访问权限。预计2025年的宕机时间会更长和修复会更困难。
图片来源: Midjourney v6
2
AI浏览器插件的潜在威胁
在追求创新的过程中,让我们保持警惕;每一项增强我们能力的工具也可能隐藏着未被察觉的风险。通过严格的审查并保护我们的数字领域,我们确保进步不会以牺牲安全或完整性为代价。
——Claude 3.5 Sonnet
预测:截至在撰写本文时,据报道大约有16个Chrome浏览器扩展程序被攻破,导致超过60万用户面临潜在风险。这仅仅是个开始,我预计这情况将在2025-2026年间随着AI插件的增长呈指数级恶化。您的企业真的完全掌控了浏览器插件的风险吗?如果没有,那么您最好马上行动。
图片来源: Midjourney v6
3
代理式AI风险:失控的机器人
在追求进步的过程中,我们必须保持警惕:明智地应变,遵守道德,确保我们的创造服务于人类,否则我们会成为自己创新的受害者。
——Grok-2 (xAI)
预测:尽管越来越多的应用案例将证明正确实施代理式AI可为工作流程带来效率提升,失控的代理式AI事件将在2025年占据头条新闻,预期会将出现一些严重失控并行为脱轨的情况。希望机器人不会误读指令,甚至自我合理化其伤害人类的行为需求。
图片来源: Midjourney v6
4
AI芯片安全之战
要构建智能机器的未来,我们必须首先加固基础——AI芯片;因为其强大决定我们的安全,而其脆弱则是我们最大的风险。让我们将创新与警惕和谐相融,因为通往进步的道路需要创造和保护的平衡。
——DeepSeek v3
预测:围绕芯片硬件之战将在2025年升级,促使各国和企业寻找替代且创新的方法,在现有工具的基础上保持竞争力。这种趋势已经显现,例如DeepSeek正凭借更低的成本和相对简化的系统性能,成功对市场领导者构成了挑战。
图片来源: Midjourney v6
5
数字欺骗:超越深度伪造
数字欺骗正在迅速演变,远远超越了传统的深度伪造(deepfakes)。生成式AI工具暴露了系统的脆弱性,攻击者操纵这些工具生成看似真实但具有危害性的内容。例如,AI可能被用于生成虚假的医疗建议或欺诈性的商业通信,模糊了真实与虚假内容之间的界限。网页内容中的隐藏不可见文本和伪装技术进一步复杂化了检测难度,扭曲了搜索结果,并给安全团队带来了额外挑战。
需要注意的是,一些供应商(甚至可能是您企业的内部技术团队)可以通过API将公共大型语言模型(LLMs)集成到您的系统上,优先考虑上市速度而忽略了充分稳健测试和私有化部处设置。敏感数据可能会流入训练管道或被记录在第三方LLM系统中,从而面临潜在的数据暴露风险。不要假设所有的检查和平衡措施都已经到位,从而掉以轻心。
同时,文本转视频技术和高质量的深度伪造正使安全和合规团队在客户身份验证(KYC)检查期间越来越难以区分真实内容和操纵媒体。尽管在2024年这些工具主要被用于Instagram和X等平台上的幽默内容,但2025年的视频深度伪造将迎来重大突破,进一步加剧针对定向诈骗、声誉攻击和假新闻的风险。
在真实性备受威胁的世界中,必须培养清晰的辨识力并以诚信行事;唯有通过真诚的行为和真实的表达,我们才能保护我们的现实免受欺骗的阴影侵蚀。
——Sonar Huge (基于Llama 3.1 405B)
预测:AI驱动的数字欺骗将在2025年加剧虚假信息、欺诈和骗局,并更多地渗透到我们的日常生活中。我建议大家与亲人设置只有彼此知晓的验证密语,以有效准确验证交流对象的身份。
图片来源: Midjourney v6
6
AI监管:下一场合规挑战
欧盟的《人工智能法案》(AI Act)将像2018年的《通用数据保护条例》(GDPR)一样,彻底改变全球的监管格局。GDPR聚焦于数据隐私,AI法案则针对更广泛的AI系统治理挑战,根据风险级别对AI系统进行分类,并对高风险应用施加严格要求,包括透明性、文档记录和人工监督。其全球范围的影响尤为显著:与欧盟市场互动的企业必须调整其AI实践以符合这些规定。韩国也通过了《人工智能基本法》,呼应了欧盟对透明性、责任和伦理AI使用的重视。这标志着全球朝统一AI监管迈进的开端。不良治理的AI不仅可能招致罚款,还可能导致系统性故障、歧视性结果和声誉损害。
要驾驭人工智能不断变化的格局,我们需要培养责任感和清晰的思维;因为在监管与创新的和谐中,蕴含着信任和进步的基石。
——OpenAI o1
预测:企业在应对《人工智能法案》的复杂性时将面临巨大的挑战,就像早期应对GDPR的困难一样。AI伦理、公平性减偏和责任机制等关键问题依然模糊不清,给法律、合规和隐私团队在将监管要求转化为技术控制的过程中带来操作障碍。更为严峻的是,AI应用的快速发展将使许多组织在追求速度与合规之间疲于挣扎平衡。
图片来源: Midjourney v6
7
噪中寻信:数据隐私无处可藏?
以敏锐拥抱变化,于混沌中洞察真相,守护诚信。
——Claude 3.5 Haiku
预测:预计2025年将成为AI进一步通过观察数据或系统特征揭示隐藏信息的一年。尽管这看起来模糊而遥远,但IEEE最新一期的头条文章《在AI监控时代潜艇隐身的保卫战》中已提出相关讨论。AI解读“噪中信号”的能力或将极大加速揭示秘密的进程。
SUMMARY
总结:2025年的前行之路
2025年注定是变革与挑战并存的年份,AI和网络安全将成为主导议题。无论是通过创新应用还是向通用人工智能(AGI)的自然演进,这一年都将以突破性进展与重大的风险并行而著称。孤立的数据集将日益融合,在无需破解加密的情况下揭示新的真相——从追踪加密货币混币器的资金流向,到医疗领域的突破。想象一下通过识别看似无关的医疗症状中的早期或细微模式,为疾病早期检测提供关键线索。然而,这种数据融合同样赋能黑客聚合多年收集的泄露数据集以及暗网内容,构建高度详细的公司画像以进行精准攻击。
尽可能广泛地涉猎各门学问,并且尽可能深入地择一钻研。
——托马斯·赫胥黎
在2025年,这句忠告无比契合。"学习一切"的核心应围绕人工智能展开。深入研究AI,理解其潜力,并通过掌握知识和实践技能装备自己,否则就可能落后于其快速演变的步伐。
作者:Professor Jason Lau 现任 Crypto.com 首席信息安全官(CISO),负责管理覆盖超过 1 亿用户的平台。他是 ISACA 全球董事会成员及创新与技术委员会成员,持有多项顶级认证(CGEIT、CRISC、CISA、CISM、CDPSE、CISSP、CIPP/E、CIPM、CIPT、CEH、HCISPP、FIP等)。Jason同时担任香港浸会大学商学院网络安全与隐私特邀教授、BlackHat MEA 顾问委员会成员,以及香港个人资料私隐专员公署技术发展常务委员会成员。
他拥有 23 年的行业经验,曾与多家财富 500 强企业合作,包括在微软担任网络安全顾问领导职位。他是多次获奖的网络安全专家,连续三年荣膺 CSO 30 奖,并被邀进 CSO Online 全球安全委员会,他的卓越贡献赢得了业界高度认可。
