每年6月27日為聯合國國際微型、小型和中型企業日(中小微型企業日)。今年的主題——「中小微型企業的未來世代:人工智慧驅動的未來」——可謂恰逢其時,因為我親眼所見的實際情況與我們通常所理解的技術傳播方式截然不同。
我們常常編造一個關於科技傳播的簡單故事:大型企業率先行動。他們會開展試點項目,成立指導委員會,並撥出專案預算。幾年後,等技術成熟安全後,其他企業才會跟進。網路的傳播大致是如此。雲端運算和安全技術的發展歷程也類似。
人工智慧的傳播並非如此簡單。
我大部分時間都在與正在經歷這場轉型的企業交流,無論規模大小,而我實際看到的卻是截然相反的情況。那家25人的會計事務所、那家區域物流公司、那家擁有三家診所的牙科集團,他們都不需要等待許可。他們已經開始利用人工智慧撰寫提案、在夜間回覆客戶資訊以及核對發票。與此同時,高速公路對面的企業仍在就人工智慧使用政策召開第三次會議。
世界經濟論壇中小企業資源中心的數據顯示,全球約有4億家中小企業。它們約佔全球所有企業的90%,創造了約70%的就業崗位,而所有這些企業都面臨網路攻擊的威脅。數據印證了業界的觀察。摩根大通研究所發現,最新一批小型企業在短短六個月內就達到了10%的人工智慧採用率。而2019年出生的小型企業達到同樣的里程碑則花了六年多的時間。美國小型企業管理局(SBA)的倡導辦公室報告稱,這一差距已基本消除:大型企業採用人工智慧的速度曾經幾乎是小型企業的兩倍,但到2025年底,這種領先優勢幾乎消失殆盡。這並非緩慢的追趕,而是小型企業引領了市場潮流。
這對於任何真正經營過小型企業的人來說都不足為奇。一家30人的小公司通常比大型企業更快採用新技術,但可能缺乏足夠的資源來評估和管理相關的網路風險。這家公司的創辦人找到了每月只需40美元就能完成兩名員工工作的工具,並在周二就啟用了它。 B2B採購早在幾年前就已經消費化。大多數決策在與供應商接觸之前就已經完成,而人工智慧正是迄今為止最純粹的例證。沒有銷售週期。免費試用,只需一張信用卡。
中型市場才是真正危險的地方。一家擁有200名員工的公司,其係統、數據和資金足以構成攻擊目標,而且部門眾多,人工智慧可能同時在五個地方得到應用。然而,這類公司通常仍未聘請任何專門的安全人員。 Thryv的一項小型企業調查發現,在員工人數為10至100人的公司中,人工智慧的使用率在一年內從47%躍升至68%。這不再是實驗階段,而是依賴,而這種依賴的形成速度遠遠超過了相應的控制措施。
採用人工智慧本身並不危險,危險在於採用人工智慧的速度超過了你對其進行管理的速度。
在真實的環境中,凌晨 2 點,這種差距看起來是這樣的:因為對話通常會變得抽象,而抽象的對話也失去了意義。
一位市場協調員將完整的客戶名單貼在聊天機器人中「整理」。現在,這些資料儲存在公司無法控制且無法追回的地方。一位簿記員根據一則訊息的指示轉移了一筆付款。這則訊息以前是透過電子郵件收到的,現在卻經常以老闆的聲音出現在 Teams 或 Slack 訊息中。而且,越來越多的消息以「供應商」的深度偽造語音訊息或與真實發票幾乎無法區分的多語言發票的形式出現。人工智慧並非發明了這種騙局,但它讓這種騙局變得流暢、快速且成本低廉,可以大規模運作。一位辦公室經理將人工智慧助理連接到共享收件匣和日曆,以便它“處理日程安排”,並將公司內所有對話的永久訪問權限授予了第三方系統。
這些都不會引起警覺。大多數情況下,這些行為看似無害,直到有一天真的釀成大禍。而那些這樣做的企業,恰恰是攻擊者最青睞的目標。 Verizon最新的資料外洩報告顯示,小型企業遭受的攻擊佔比很高,絕大多數攻擊都涉及勒索軟體,其比例遠高於大型企業。小型企業遭受攻擊並非因為它們規模小,而是恰恰因為它們規模小:資金有限、防禦薄弱,而且凌晨兩點無人可以求助。
而時間的壓縮程度,鮮有企業主能體會。在人工智慧時代,漏洞揭露到被利用的平均時間已從數年縮短至數小時,預計到2026年底將降至一小時以內。諸如Anthropic公司的Claude Mythos Preview等先進模型(目前僅限於防禦用途)的出現,展現了人工智慧發現並利用軟體缺陷的速度之快。這些能力不會永遠受限,任何企業,更不用說只有30名員工的小公司,幾乎沒有空間再採取延遲修補、人工流程或被動安全措施。
所以現在有兩條方向相反的線。人工智慧在中小市場的普及速度比我所見過的任何科技浪潮都要快。而同一領域的人工智慧安全幾乎停滯不前。這兩條線之間的空白區域才是真正的風險所在,而大多數企業主目前還無法察覺。
影子人工智慧:中小企業未曾預料到的風險
我認為中小企業面臨的最大風險之一並非企業部署的人工智慧,而是員工在不知情的情況下使用人工智慧。員工使用人工智慧助理撰寫電子郵件、總結文件、產生投影片和編寫程式碼。生產力的提升固然顯著,但隨之而來的負面影響也不容忽視:敏感的客戶資料、財務記錄、智慧財產權和機密計畫被悄悄上傳到公共人工智慧平台。基於這些輸出結果所做的決策,企業卻完全無法了解自身資料的處理與儲存位置。
對我所描述的這些企業而言,最終責任落在兩個人身上:老闆和財務官,而不是IT承包商。這裡涉及的是資金和信任,因此這首先是一個業務問題,其次才是技術問題。如果因為人工智慧產生的看似合法的資訊而導致付款成功,那就是財務問題。如果客戶資料透過聊天機器人提示洩漏出去,那就是責任問題。如果人工智慧代理悄悄讀取公司郵件,那就是治理問題。這些問題都不會等到IT部門提交工單才出現,也不會只告訴員工「小心點」就能解決。
企業對人工智慧支出進行管控,卻完全忽略了人工智慧帶來的風險,這種情況屢見不鮮。這些工具的審批流程與任何軟體訂閱的審批流程並無二致:列入清單,點頭批准,就此完成。然而,真正從未獲得批准的,卻是員工為了加快月末結算而將客戶財務資料匯入這些工具。因為沒有人將其視為一項決策,所以這項操作從未被批准。支出得到了管控,但風險卻沒有。這就是整個問題的縮影。
這裡有一個企業主常常忽略的方面:即使你的企業規模小到感覺不會成為攻擊目標,你幾乎肯定也是其他公司供應鏈的一部分。攻擊者深諳此道。他們不會直接攻擊跨國公司,而是瞄準規模較小的供應商、物流合作夥伴、精品軟體開發商或監管較寬鬆的專業服務公司。客戶、監管機構、保險公司、投資者和合作夥伴在與你合作之前,都會開始提出一些尖銳的問題。在人工智慧驅動的經濟時代,信任已悄悄成為一種競爭優勢。
如果你是正在閱讀這篇文章的企業主或財務官,答案不是放慢腳步。人工智慧是小型公司迄今為止成本最低的槓桿,放棄這種優勢本身就是一種風險。正確的做法是在規模化發展之前設定一些防護措施,而不是在事故發生後。
弄清楚哪些功能正在實際使用中。你公司裡很大一部分人工智慧都是由非IT人員啟用的。不妨大聲問問自己這個問題。你會發現,實際使用的人工智慧比你想像的要多得多。
決定哪些數據可以與這些工具關聯。 「不要將客戶或財務資訊放入公共人工智慧工具中」這句話本身就能防止很大一部分損害。
對待人工智慧存取權限要像對待招募一樣。如果一個助手可以讀取你的電子郵件或轉移資金,那麼就要像審查持有相同權限的新員工一樣審查它。
尋求專業人士的協助。大多數小型企業不會自行建立安全體系,而且他們也不需要這樣做。但無論你依靠公司內部或外部的任何人,他們都應該能夠用簡單易懂的語言告訴你,你目前的AI安全措施是如何保障你的。如果他們做不到,那就應該在本季就安排一次會議,而不是等到明年。
這些都不是什麼稀奇古怪的東西。優秀操作員對待強大的新工具一貫秉持的原則是:嚴格使用,並了解其限制。
安全應成為成長的推動因素,而非成本支出。
我鼓勵每位企業主和財務長轉變對網路安全的看法。多年來,網路安全一直被視為成本中心——一種為了降低風險而繳納的稅金。但在人工智慧驅動的經濟中,情況恰恰相反:它能讓你更有信心地採用人工智慧,贏得更大的客戶,進入更大的供應鏈,滿足新興法規的要求,並保護你多年來建立的信任。從一開始就將安全融入人工智慧策略的企業,往往發展得更快,而不是更慢。
我之所以如此重視這件事,並非出於推銷更多安全產品的目的。根據聯合國永續發展集團的數據,中小微型企業佔所有企業的90%,創造了高達70%的就業崗位,並貢獻了全球一半的GDP。它們是經濟中真正能夠被人工智慧徹底顛覆的部分。試想一下,一家小公司終於能夠與規模是自己十倍的競爭對手正面交鋒,因為技術進步不再受制於誰更大。
值此世界微型、小型和中型企業日之際,這一點尤其重要。這項技術早已惠及中小企業。對於許多中小企業而言,人工智慧驅動的安全防護是無需投入大量人力即可獲得企業級保護的首個切實可行的方案。而且,由於攻擊者只需幾分鐘而非幾週就能發動攻擊,預防先行的策略比以往任何時候都更加重要:在攻擊站穩腳跟之前將其阻止,遠比事後補救要划算得多。
未來中小微型企業的成功並非源自於其龐大的預算或技術團隊,而是源自於其在人工智慧驅動的世界中能夠更快地創新、更聰明地運作並更有效地保護自身。如今的關鍵在於確保安全保障也同樣到位——讓下一代中小微型企業不僅擁有人工智慧驅動,更能受到人工智慧的保護。
文章來源/Check Point Blog Check Point Blog
返回