本文系世界经济论坛2025全球未来理事会年会与网络安全年会特别联合会议的一部分

前言

一直以来，网络安全攻防世界里的故事通常是以技术性语言来描述的。从“老三样”-防火墙、防病毒软件、入侵检测与防御系统，乃至如今的量子计算与人工智能，每一种新技术、新工具都会承诺和预期能够抗住下一波网络攻击。然而，尽管安全技术创新层出不穷，大大小小的数据泄露事件依然每天都在上演，而其中大多数并非因零日漏洞被利用造成的，而是人为因素所致。

2024年，95%的数据泄露事件追根究底与“人为错误”有关，网络安全防护措施往往因糟糕的用户(员工)安全培训而失效。即便是组织部署了最先进的安全技术防御措施，如果员工没有接受过全面的（系统性）、合适的（针对性）、正确的（有效性）网络安全意识培训，看似固若金汤的安全防线也有可能会在某个时候因“人为因素”而功亏一篑。

正因如此，网络安全投资不能仅仅是投在技术上，必须与“投资于人”同步推进，两者投资比例应相匹配。网络安全培训的目标应该是缩小安全专家与广大非安全人员之间的技能差距，通过持续的安全意识教育和安全技能再培训为全体员工赋能，提升组织的数字韧性。

契合不同需求的网络安全培训

尽管技术变革已经将传统的安全培训课程抛在了后面，但我们培训人们在网络世界如何更安全地工作的模式却多年未变。以获取学位为目标的网络安全专业教育仍将具有重要意义，但不能成为“投资于人”的唯一途径。

另外，安全人员专业化资质认证培训必须更快速、更具适应性。由产业界、政府及高校联合开发的短期安全课程，能为学生和在职人员提供最新的安全技能。基于人工智能（AI）的生成式工具固然能助力课程内容保持时效性，但必须始终与教育工作者及安全专家协同配合。若缺乏这种合作伙伴关系，安全培训将永远落后于网络威胁。

同样重要的是，企业安全培训不能仅限于在IT部门内开展。从一线员工到首席执行官，每一位员工必须具备足够的网络安全意识，以识别可疑的网络攻击企图并以负责任的方式快速响应。安全培训的目标并非让所有人都成为网络安全专家，而是弥合安全专业人员与组织内其他成员之间的知识与技能鸿沟。

不止于培养网络安全专家

全球网络安全专业人才短缺已是不争的事实。据世界经济论坛相关数据，全球对高技能安全专业人才的需求持续大于供给，但单纯培养更多的安全专家并不能解决根本问题。

解决之道在于将网络安全意识融入日常的组织文化中。当每一位员工都能够识别钓鱼攻击企图或对基于AI伪造的欺诈视频保持质疑精神时，整个网络安全防线就会变得更加坚固。对抗性思维(Adversarial Thinking)和人工智能素养等概念不应仅限于安全专家掌握。安全意识必须渗透至全体员工，而非局限于一个狭窄的孤岛。

当下局势的特殊性在于人工智能扮演着日益重要的角色。这些AI系统不仅仅是工具，它们正在塑造着人们的行为模式。若员工仅接受技术性培训，却无法对所见及所用技术产生的道理伦理影响提出质疑，那么他们依然毫无防御能力。

正因如此，将道德伦理与批判性思维融入网络安全培训已不再是一个可有可无的选项。据题为《坏机器腐蚀好品德 (Bad Machines Corrupt Good Morals)》的论文研究表明，人工智能可能会以特殊方式对人类道德及决策产生负面影响，诱使原本负责任的人做出有害行为。因此，安全培训还必须培养人们适当质疑AI系统输出、识别操纵手段、抵御隐性胁迫的能力。

人工智能如何改变人类行为？

网络攻击者利用“人为错误”这一薄弱环节总能屡屡得手，社会工程学攻击与钓鱼邮件攻击就是经典的例子。最新的变化在于欺骗手段的日益复杂和精巧。深度伪造技术如今能够完美地模仿任何一名公司高管的声音。人工智能生成的欺诈信息经过精心设计足以打消人们的怀疑，分辨真假正变得越来越难。

与此同时，人工智能降低了攻击者的门槛。曾经需要精通黑客攻击技术的技能，如今只要敲击一下键盘，几乎任何人都能轻易获得。几个简单的提示词指令就能生成恶意代码或具有说服力的网络诈骗脚本。那些从未想过要实施网络犯罪的人，可能突然发现它变得触手可及。

这种责任归属的模糊化是另一项被忽视的风险。在传统黑客攻击活动中，意图是明确的，因为发出了指令执行或实施了犯罪行为。但人工智能系统使意图变得模糊，一个模糊的提示指令可以被自主解读和执行，使用户得以推卸责任。

这种责任缺口将引发严重后果。法院和监管机构将难以证明主观意图，而网络犯罪嫌疑人则可能会躲在机器背后逃避追责。为应对这一挑战，必须对人们进行安全培训使其认识到：尽管任务可以委派，但责任并不能随之转移。新的AI治理框架势在必行，但组织仍需持续灌输一种意识—即道德责任不可外包。正如近期研究强调的，这种存在“隐含意图”的灰色地带，已成为法律实践中最棘手的前沿问题之一。

网络安全作为一种全球公共产品

网络安全不能一直是企业间或政府间的私下竞争，它是一种公共产品，对维系经济信任与社会稳定至关重要。如同所有公共产品一样，它需要相互合作。

这意味着要投资安全教育并持续提升技能，意味着建立共享知识而非隐瞒知识的合作伙伴关系，意味着优先考虑多样性，使解决方案能反映全球网络威胁的现实，而狭隘的、闭塞的视角只会造就脆弱的安全防御体系。

日益复杂且严峻的全球网络安全态势表明，任何单一国家或行为体都无法单独应对，唯一可行的应对策略是集体行动。仅靠技术本身也无法拯救我们，防火墙和加密技术固然重要，但人的因素更为关键。只有当网络安全成为我们日常生活中一种自然而然的本能习惯时，它才会真正有效和持久。网络安全的担子不能仅仅由少数安全专家挑着，必须将其视为一项公民的共同义务，在课堂、董事会和社区中广泛讨论，必须成为融入日常生活习惯的一种集体责任。

世界经济论坛全球未来理事会(GFC)正在构想如何打造安全、包容和自由的数字环境。这样的未来是可以实现的，但需要当下就采取行动。拖延会放大风险，而协作能开启新机遇。

每个人都应该在网络安全建设中发挥作用。问题是，你是网络安全链条中的一个“薄弱环节”，还是一道坚固的安全防线？

参考资料：世界经济论坛官网

声明：本文来自超安全，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。