Zgodnie z raportem AI and Adversarial Testing Benchmark Report 2026 firmy Pentera, większość liderów w dziedzinie bezpieczeństwa zmaga się z obroną systemów AI, korzystając z narzędzi i umiejętności, które nie odpowiadają wyzwaniom współczesności.
Opracowanie oparte jest na badaniu przeprowadzonym wśród 300 szefów ds. informacji (CISO) oraz liderów bezpieczeństwa w Stanach Zjednoczonych. Zawiera analizy dotyczące zabezpieczania infrastruktury AI oraz wskazuje na krytyczne luki związane z brakiem umiejętności oraz poleganiem na kontrolach bezpieczeństwa, które nie zostały dostosowane do ery AI.
Integracja systemów AI w firmach
Systemy AI rzadko są wdrażane w izolacji. Zazwyczaj są one integrowane z istniejącymi technologiami w firmach, takimi jak platformy chmurowe, systemy zarządzania tożsamościami, aplikacje czy infrastruktura danych. Z powodu rozproszonego zarządzania różne zespoły odpowiedzialne za te systemy nie mają możliwości efektywnego nadzoru centralnego.
W wyniku tego, 67 procent CISO zgłosiło ograniczoną widoczność w zakresie wykorzystania AI w swoich organizacjach. Żaden z respondentów nie potwierdził, że posiada pełną przejrzystość; większość przyznała, że jest świadoma pewnego poziomu niezarządzanego lub nieautoryzowanego użycia AI.
Trudności w ocenie ryzyka
Brak jasnego obrazu operacji systemów AI oraz dostępu do zasobów sprawia, że zespoły bezpieczeństwa mają problem z efektywną oceną ryzyka. Kluczowe pytania dotyczące tego, na jakich tożsamościach polegają systemy AI, które dane mogą wykorzystać oraz jak się zachowują w przypadku awarii zabezpieczeń, często pozostają bez odpowiedzi.
Pomimo tego, że bezpieczeństwo AI stało się regularnym tematem w salach konferencyjnych i dyskusjach kierowniczych, badanie ujawnia, iż największymi wyzwaniami nie są kwestie finansowe.
Wyzwania dla CISOs
CISO zidentyfikowali następujące najbardziej znaczące przeszkody w zabezpieczaniu infrastruktury AI:
- Brak wewnętrznej ekspertizy (50 procent)
- Ograniczona widoczność w zakresie wykorzystania AI (48 procent)
- Niedostateczne narzędzia zabezpieczające dostosowane specjalnie do systemów AI (36 procent)
Tylko 17 procent respondentów wskazało ograniczenia budżetowe jako główny problem. Sugeruje to, że wiele firm jest gotowych inwestować w bezpieczeństwo AI, jednak brakuje im specjalistycznych umiejętności niezbędnych do oceny ryzyk związanych z AI w rzeczywistych warunkach.
Problemy z adaptacją zabezpieczeń
Systemy AI wprowadzają nowe zachowania, które zespoły ds. bezpieczeństwa wciąż uczą się oceniać, takie jak podejmowanie decyzji autonomicznych czy pośrednie ścieżki dostępu. Bez odpowiednich umiejętności oraz aktywnego testowania, trudności z oszacowaniem efektywności istniejących zabezpieczeń stają się coraz większe.
W przypadkach braku najlepszych praktyk, umiejętności oraz narzędzi dedykowanych AI, wiele przedsiębiorstw przedłuża istniejące kontrole bezpieczeństwa na systemy AI.
Badanie wykazało, że 75 procent CISO polega na przestarzałych kontrolach bezpieczeństwa, takich jak zabezpieczenia punktów końcowych, aplikacji, chmury czy API, aby chronić systemy AI. Tylko 11 procent zgłosiło posiadanie narzędzi zabezpieczających zaprojektowanych specjalnie dla infrastruktury AI.
Wnioski i rekomendacje
Takie podejście odzwierciedla znany wzór z wcześniejszych zmian technologicznych, kiedy to organizacje początkowo dostosowują istniejące obrony, zanim pojawią się bardziej dedykowane praktyki zabezpieczeń. Choć może to zapewniać podstawową ochronę, kontroli opracowane dla tradycyjnych systemów mogą nie uwzględniać, jak AI zmienia wzorce dostępu i rozszerza potencjalne szlaki ataków.
Z połączenia wyników wynika, że wyzwania związane z bezpieczeństwem AI wynikają z fundamentów, a nie z braku świadomości lub intencji. W miarę jak AI staje się kluczowym elementem infrastruktury przedsiębiorstw, raport sugeruje, że organizacje będą musiały skupić się na budowaniu wiedzy i poprawie sposobu weryfikacji kontroli bezpieczeństwa w środowiskach, w których AI już działa.
Aby zapoznać się z pełnymi ustaleniami, pobierz raport AI and Adversarial Testing Benchmark Report 2026, aby uzyskać głębszą analizę danych oraz kluczowych wniosków.
Uwaga: Artykuł został napisany przez Ryana Dory, Dyrektora ds. doradztwa technicznego w firmie Pentera.
