文章总结： 本文探讨AI赋能型企业的安全策略，提出构建灵活审批机制（如黄灯流程将审核缩短至15分钟）和设立AI大使计划实现安全责任去中心化。核心观点认为安全应成为业务赋能者，通过标准化框架降低交易阻力，并指出基础安全投入是企业适应AI时代的关键。 综合评分： 72 文章分类： 安全建设,安全意识,安全运营,AI安全,解决方案

灵活性与安全大使如何保障 AI 赋能型企业安全

原创

siliconAngle siliconAngle

安全行者老霍

2026年4月18日 09:01 北京

在小说阅读器读本章

去阅读

作者：JAMES ROBINSON

发布时间：2026 年 4 月 4 日

如今人们已普遍认同，人工智能将渗透到我们生活的几乎方方面面。这也带来了与 AI 威胁、企业 AI 管理，以及让安全体系适应日益由 AI 驱动的世界相关的全新挑战。

评估风险暴露时，最重要的是弄清企业正在使用哪种类型的 AI。这其中存在直接关联：更先进的生成式 AI 与智能体 AI，会让我们面临更大的安全威胁。生成式 AI 应用普遍缺乏透明度，导致安全团队难以有效监控敏感数据的流向。

AI 工具的便捷性与易用性，往往让用户忽视其潜在安全风险，形成 “快速采用、风险随之而来” 的循环。要有效应对这些不断演变的威胁，企业必须对自身安全体系进行适配调整。基于此，本文将探讨一系列策略，避免这些挑战在企业各业务领域爆发。

1. 构建灵活适配的安全机制

转型的关键一环，是重新设计 AI 使用的审批流程。传统安全模式通常采用非黑即白的 “允许 / 禁止” 二元决策，对于动态多变的 AI 环境而言过于僵化。安全团队需要采用更灵活的方式，例如针对部分 AI 功能设置自主选择加入 / 退出的模式，尤其在涉及客户数据或受监管数据时。

我与团队正在推行的一项策略，是为用户设定清晰的 AI 使用边界。目标是让安全部门从阻碍创新的瓶颈，转变为安全赋能 AI 落地的推动者，明确划定可操作与禁止操作的行为范围。

诚然，随着影子 AI 与智能体 AI 不断扩大攻击面，这类风险始终需要警惕；但与此同时，企业也必须响应业务部门的合理需求。建立一套能够降低审批摩擦、高效审计新工具申请的机制至关重要。

我的做法是先筛选可信平台与合作伙伴，然后优化流程，加快对这些工具的审批速度。我称之为 “黄灯流程”– 既可以加速放行，也能随时刹车。这意味着只保留两项必须确认的核心问题，即可完成可信平台或合作伙伴的审批。例如我们会问：

• “该工具是否会学习并使用我方数据？”
• “工具是否具备可控开关，以便我们在需要时启用或停用？”

通过这种方式，原本需要数天的审核流程被缩短至15 分钟。业务团队得以灵活使用所需工具，同时不牺牲必要的安全防护。

2. AI 安全大使的力量

很多人都熟悉企业内部 “安全冠军（Security Champions）” 的概念，而我同样大力倡导设立 “AI 大使（AI Ambassadors）”。该计划旨在推动各业务部门参与并承担更多 AI 治理责任。

AI 大使来自企业各个团队与部门，他们熟悉 AI 工具的使用规范，并能推动所在团队遵守规则。本质上，他们是安全团队的延伸，承担监督职责，确保同事在选择和使用 AI 工具时遵循正确流程。他们可以梳理团队使用的应用清单，发起审批流程复核，更主动地确保团队 AI 使用方式安全合规，与企业整体安全政策保持一致。

通过在不同部门培训并赋能 AI 大使，企业可以将部分初始安全审核工作去中心化。大使负责理解并执行 AI 治理政策，确保新工具引入企业时，安全考量从一开始就被融入其中。

安全先锋与 AI 大使并非同一角色。保持两支队伍相互独立，有助于构建共担责任的安全文化，在实现 AI 方案快速部署的同时，维持以客户为中心的治理与强健的安全态势。

AI 时代并不需要对现有安全策略推倒重来，而是通过更小的战略性调整，减少终端用户的使用阻力，培育更优秀的安全文化。

通过认清 AI 驱动威胁的真实本质，应对 AI 管理的独特性，并构建安全责任共担的文化，企业不仅能有效降低风险，更能充分释放这项技术的全部潜力。

https://siliconangle.com/2026/04/04/flexibility-ambassadors-can-secure-ai-enabled-enterprise/

信任、摩擦与投资回报：一位 CISO 对让安全为业务赋能的看法

作者：Mirko Zorz,

发布时间：2026 年 4 月 2 日

在本次《Help Net Security》专访中，PPG 公司首席信息安全官John O’Rourke探讨了安全如何驱动业务价值这一议题。他阐释了成熟的安全体系如何缩短销售周期与并购流程中的阻力，以及信任是如何逐步建立的。

O’Rourke还谈到，采购方专业度的提升如何抬高了对供应商的要求，监管较宽松的行业为何落后于监管严格的行业，以及哪些企业将从基础安全投入中获益。本次专访围绕网络安全战略、投资回报以及推迟安全建设的代价等五个问题展开。

安全即业务战略

“安全作为收入赋能者” 有可能沦为又一个空洞的流行词。这一理念具体、可衡量的真实含义是什么？而高管们应当警惕的注水版本又是什么？

“安全作为收入赋能者” 可衡量的真正价值，在于安全能够以可追踪的方式消除业务增长中的阻力。例如，并购（M&A）过程中的尽职调查周期缩短，以及客户采购产品时的销售流程加速。在 PPG，我们为并购工作搭建了跨职能框架与团队，高度聚焦网络安全。这让我们能够通过可复用的整合框架评估目标企业，同时降低网络安全风险。

总体而言，成熟的网络安全体系拥有标准化的文档与流程，能够以极低的成本完成响应与管控落地。这会缩短交易成交时间，减少销售交易停滞的情况。安全团队应当参照多种成熟框架进行自评，例如美国国家标准与技术研究院（NIST）框架、国际标准化组织（ISO）认证、服务组织控制（SOC2）报告；若身处受监管行业，则还包括网络安全成熟度模型认证（CMMC）。

安全并不直接 “创造收入”，但在安全领域的投入可以避免因安全问题导致收入延迟或流失。在 PPG，安全降低业务阻力的若干实例包括：自动化的员工入职与离职流程、在身份与访问管理中增设带合理管控的自助权限申请，以及更完善的审计就绪状态，使业务项目能够顺利推进、不受延误。

如何量化信任？

安全团队常被要求证明投资回报（ROI），但保住客户信任的价值却难以写入表格。有哪些适用的框架？

在各团队内部，尤其在网络安全领域，信任绝对无法用表格统计，也不是靠 “勾选框” 就能定义的。建立信任远比失去信任要困难得多。无论是否采用官方框架，我们都可以将具体安全事件换算为可能的财务损失或业务中断时长，这些都会影响公司收入与声誉。归根结底，投资回报就是最大限度减少此类事件，让企业能够不间断地创造收入，并持续构建信任。

如今采购方对安全的专业程度远高于五年前。

这如何改变了沟通方式？是否在某些方面让销售流程变得更难而非更容易？

从安全团队的角度，这个问题最好从两个视角来看。第一，安全厂商不断推出新功能、收购新能力、为解决方案重新包装品牌。这种持续的整合与扩张往往导致术语多变、功能重叠。因此，采购决策不能再被当作单点解决方案对待。每一笔投资都需要严格审核架构对齐度、运营流程以及治理影响。工具必须经过深度验证，确保其实现预期功能、在企业内无缝集成，并提供有效覆盖，同时不引入不必要的复杂性与风险。

第二，从客户视角来看，通过评估与问卷了解供应商的网络安全治理情况已变得越来越普遍。来自客户的网络安全调查问卷比以往任何时候都多，内容也可能非常详尽。

PPG 希望保护自身供应链，因此我们同样关注供应商的网络安全态势。积极的一面是，私营部门的网络安全成熟度与意识正在提升，但行业必须在体系评估方面走向某种标准化。安全体系成熟度并不等同于绝对保障，但具备真实运营成熟度的体系将在客户中脱颖而出，并有助于降低风险敞口。

金融科技、医疗科技、国防承包等行业向来将安全视为准入许可要求。

监管较宽松的行业至今仍未吸取这些领域的哪些经验？

监管更严格的行业通常设有必须满足的认证或要求。这些认证或要求推动了基线控制措施的落地，并通过审核验证控制有效性。监管较宽松的行业往往将安全建设推迟到收入增长之后，这会导致架构脆弱、身份权限泛滥以及技术债，后期整改成本将高得令人望而却步。

威胁攻击者是机会主义者，不会因行业不同而区别对待，因此行业间网络安全成熟度不均的现状不可持续。安全控制与架构必须在企业架构讨论阶段就尽早纳入考量。安全体系必须对标相关框架，以便持续评估与验证自身成熟度。

五年后，哪些企业会回头发现，安全投资是最明智的增长决策之一？哪些会将安全视为成本中心，并为此付出代价？

在基础安全领域大力投入的企业，将更有能力拥抱并适应技术格局变化，实现业务连续性，同时保持稳定的防护水平。这些组织不仅投资防护措施，还理解数字信任对增长项目的重要性。

将安全视为 “成本中心” 的企业，只会做刚好能通过审计的最低限度工作，推迟基础建设，也不建立具备适应性的网络安全体系。这些组织将面临漫长的事件恢复时间、监管暴露带来的额外支出、信任度下降以及业务阻力增加。

随着 AI 持续发展，已在基础控制上投入的企业将能够以更低阻力、更少安全追加投资启用 AI。而未做投入的企业将面临投入更高、推进更慢、自身风险更高的局面。

Trust, friction, and ROI: A CISO’s take on making security work for the business

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 siliconAngle siliconAngle《灵活性与安全大使如何保障 AI 赋能型企业安全》