分析發現,70%的雲端工作負載使用AI服務時存在未解決的漏洞。
風險曝露管理公司 Tenable® 今天發佈 2025 年雲端 AI人工智慧風險報告,該報告發現雲端 AI 容易受到可避免的有毒組合的影響,使敏感的 AI 數據和模型易受操縱、數據篡改和數據洩漏的威脅。
雲端和人工智慧無疑是企業的遊戲規則改變者。然而,兩者結合時會引入複雜的網絡風險。Tenable 雲端人工智慧風險報告 2025 突顯了雲端人工智慧開發工具和框架中的安全風險現狀,以及三大雲服務提供商所提供的人工智慧服務——亞馬遜網路服務 (AWS)、谷歌雲端平台 (GCP) 和微軟 Azure。報告中的關鍵發現包括:
風險曝露管理公司 Tenable® 今天發佈 2025 年雲端 AI人工智慧風險報告,該報告發現雲端 AI 容易受到可避免的有毒組合的影響,使敏感的 AI 數據和模型易受操縱、數據篡改和數據洩漏的威脅。
雲端和人工智慧無疑是企業的遊戲規則改變者。然而,兩者結合時會引入複雜的網絡風險。Tenable 雲端人工智慧風險報告 2025 突顯了雲端人工智慧開發工具和框架中的安全風險現狀,以及三大雲服務提供商所提供的人工智慧服務——亞馬遜網路服務 (AWS)、谷歌雲端平台 (GCP) 和微軟 Azure。報告中的關鍵發現包括:
- 雲端AI工作負載也不能免於漏洞的影響:大約 70% 的雲端 AI 工作負載包含至少一個未修復的漏洞。特別是,Tenable Research 在 30% 的雲端 AI 工作負載中發現了 CVE-2023-38545(一個嚴重的 curl 漏洞)。
- 託管式 AI 服務中存在 Jenga® 式 1 雲配置錯誤:77% 的組織在 Google Vertex AI Notebooks 中配置了特權過高的預設 Compute Engine 服務帳戶。這意味著基於此預設 Compute Engine 構建的所有服務都面臨風險。
- AI 訓練資料容易受到資料中毒的影響,從而有可能扭曲模型結果:14% 使用 Amazon Bedrock 的組織沒有明確阻止對至少一個 AI 訓練儲存桶的公共訪問,5% 的組織至少有一個過於寬鬆的儲存桶。
- Amazon SageMaker 筆記本實例預設授予根訪問許可權:因此,91% 的 Amazon SageMaker 使用者至少有一個筆記本,如果遭到入侵,可能會授予未經授權的訪問許可權,這可能會導致其中的所有檔被修改。
Tenable 雲端安全研究與產品管理副總裁 Liat Hayun 表示:「當我們談論在雲端中使用 AI 時,涉及的不僅僅是敏感數據。如果威脅行為者操縱數據或 AI 模型,可能會帶來災難性的長期後果,例如數據完整性受損、關鍵系統安全性受損以及客戶信任度下降。雲端安全措施必須不斷發展以應對人工智慧的新挑戰,並在防止對人工智慧數據的複雜攻擊和使組織實現負責任的人工智慧創新之間找到微妙的平衡。」
1 Tenable 提出的 Jenga® 風格概念表明,雲端供應商傾向於在一項服務之上建立另一項服務,並使用「幕後」建構塊從一層到下一層繼承風險預設值。這種雲端配置錯誤,尤其是在人工智慧環境中,如果被利用,可能會帶來嚴重的風險。
關於 Tenable
Tenable® 是一家風險管理公司,致力於揭露和彌合侵蝕商業價值、聲譽和信任的網路安全漏洞。該公司的 AI 驅動的風險暴露管理平臺從根本上統一了整個攻擊面的安全可見性、洞察力和行動,使現代組織能夠抵禦從 IT 基礎設施到雲環境再到關鍵基礎設施以及介於兩者之間的任何地方的攻擊。通過保護企業免受安全風險,Tenable 降低了全球約44,000家客戶的業務風險。在 tenable.com 上瞭解更多資訊。
