隨著數字供應鏈的擴展以及生成式人工智能在關鍵系統中的嵌入，安全領導者正在重新思考其網絡安全策略。Emerald Research 最近對 225 位安全領導者進行的一項調查發現，68% 的人擔心第三方軟件和組件帶來的風險。雖然大多數受訪者表示他們正在滿足監管要求，但 60% 的人承認攻擊者的進化速度過快，難以保持韌性。

報告強調了合規性與實際安全之間日益加劇的矛盾。安全領導者呼吁加強控制、加快補救措施，并提高對新興人工智能風險的可視性。 如今，許多人將網絡安全視為戰略性業務問題，而不僅僅是技術問題。

第三方工具仍然是最受關注的問題，但生成式人工智能正在迎頭趕上。近一半的受訪者表示，他們對人工智能驅動的功能和大型語言模型感到不安。董事會也注意到了這一點。68% 的安全領導者表示，董事會現在將生成式人工智能的安全部署視為一項關鍵優先事項。

這些擔憂并非空穴來風。對人工智能應用程序的滲透測試發現，32% 的應用程序存在高風險漏洞。這一嚴重漏洞的發現率高于其他類別的系統。最常見的漏洞并非人工智能獨有，而是 SQL 注入和存儲型跨站腳本等經典問題。

軟件供應鏈的復雜性也引發了人們的擔憂。如今，大多數組織依賴專有代碼、開源組件和外部服務。73% 的受訪高管表示，他們在過去一年中至少收到過一次供應鏈漏洞或事件通知。因此，83% 的組織現在面臨正式要求證明供應商安全性的要求，超過一半的組織要求供應商進行滲透測試和漏洞報告。

這些措施也正在塑造客戶關系。“74% 的安全領導者認為，定期進行記錄在案的滲透測試可以提升客戶信任度，并在采購中帶來競爭優勢。”

滲透測試不再只是一項需要勾選的環節。它已成為企業安全計劃的核心要素。88% 的安全領導者如今認為滲透測試至關重要。超過一半的安全領導者表示，他們使用滲透測試來驗證自己的軟件。超過一半的安全領導者還要求在向客戶發布軟件之前進行第三方滲透測試。

調查發現，49% 的企業計劃使用滲透測試來識別軟件供應鏈漏洞，44% 的企業打算用它來發現內部威脅。滲透測試實踐正在被整合到開發生命周期和采購工作流程中。

生成式人工智能正在成為一種新的、難以預測的風險。66% 的受訪者表示，生成式人工智能可以幫助攻擊者分析數據并規避防御。超過一半的受訪者擔心人工智能可以自動化整個攻擊生命周期，62% 的受訪者擔心人工智能開發工具可能會將隱藏的漏洞引入代碼庫。

數據保護是這些問題的核心。“44% 的領導者認為模型中毒和知識產權盜竊是他們最緊迫的 GenAI 相關風險。”其他人則認為訓練數據泄露、未經授權的平臺使用以及 AI 輸出中的偏見。盡管 AI 是新興事物，但其根本問題仍然源于經典的軟件安全問題。

安全團隊正在呼吁新的工具和標準。超過一半的受訪者希望在部署GenAI之前獲得專用工具來評估其安全性。同樣多的受訪者希望獲得關于如何防御性使用AI的指導。48%的受訪者表示，他們需要框架來檢測和應對AI發起的攻擊。正如報告中所述：“如果沒有這樣的護欄，創新的前景可能會以犧牲長期安全和品牌聲譽為代價。”

如今，首席信息安全官們正被推向更具攻擊性的思維模式。許多人將滲透測試嵌入到供應商協議中，并對人工智能系統施加與傳統基礎設施同等的嚴格要求。其中一項建議是：“將滲透測試作為采購和整個軟件開發生命周期中不可或缺的一部分。”