IBM最新发布的《2025年数据泄露成本报告》揭示全球数据安全新态势：尽管全球平均泄露成本五年来首次下降至444万美元，但美国企业平均损失飙升至1022万美元历史峰值。报告指出，人工智能技术普及带来的双面效应愈发显著——攻击者正利用AI系统访问控制漏洞实施攻击，而采用AI防御的企业则显著缩短了漏洞处置周期。

报告显示，13%的受访组织遭遇过AI模型或应用的数据泄露事件，其中97%与AI系统访问控制薄弱直接相关。更严峻的是，63%的企业尚未建立完善的AI治理政策，而已制定政策的企业中仅34%定期审计AI使用情况。IBM安全副总裁Suja Viswesan警告："AI安全已出现监管真空，威胁行为者正利用这一缺口窃取敏感数据甚至操纵模型。"

医疗行业连续第14年成为"最昂贵受害者"，单次泄露平均损失达742万美元。该行业因患者个人信息（PII）价值高且泄露识别周期长达279天（较全球平均多五周），成为攻击者重点目标。

尽管AI技术为安全团队带来红利——采用AI自动化的企业平均缩短漏洞处置周期80天，节省190万美元成本，但整体收益增速较2024年仅微增。报告分析，这表明AI防御技术普及已进入"平台期"，企业需更深度整合AI与安全流程。

攻击者则加速AI武器化：16%的泄露事件涉及AI工具，其中生成式AI（GenAI）将网络钓鱼邮件制作时间从16小时压缩至5分钟。37%的AI攻击采用钓鱼邮件，35%利用深度伪造技术实施模拟攻击。

报告首次将"影子AI"（未获官方批准的AI应用）纳入研究：20%的企业因影子AI遭遇泄露，此类事件平均成本较无影子AI企业高67万美元，且更易导致个人信息（65%）和知识产权（40%）泄露。IBM指出，影子AI的快速蔓延已取代人才短缺，成为推高泄露成本的三大因素之一。

研究还发现，数据存储环境显著影响损失规模：涉及多云/混合云环境的泄露事件平均损失505万美元，而纯本地存储环境为401万美元。不过，本地存储泄露事件占比从20%激增至28%，显示企业数据分布策略正面临新挑战。

针对现状，IBM建议企业优先完善AI身份与访问管理（IAM），将非人类身份（NHI）纳入统一管控框架。Suja Viswesan强调："AI代理正承担更多业务职能，其凭证安全需与人类用户同等重视。通过自动化工具实现NHI活动全流程监控，是阻断AI滥用攻击的关键。"

此次报告基于对全球600家企业、3000名高管的调研，覆盖2024年3月至2025年2月期间发生的数据泄露事件。分析指出，随着AI深度融入业务，构建"AI原生安全体系"已成为企业数字化转型的必答题。