人工智能正成为量化投资的新引擎,但数据安全漏洞可能让创新成果毁于一旦。Varonis 发布的《2025 年数据安全状况报告》(以下简称 “报告”)通过对全球 1000 家企业的真实环境分析,揭示了 AI 应用与数据安全之间的严峻挑战。
图片来源:《2025年数据安全状况报告:量化人工智能对数据风险的影响》封面图片
01 AI 应用安全风险:数据暴露触目惊心
报告显示,90% 的企业存在敏感云数据暴露问题,而 AI 的普及正在加剧这一风险。当企业敏感数据未得到妥善保护时,AI 工具可以轻易地将其暴露,造成机密信息泄露。
更令人担忧的是,99% 的企业将敏感数据暴露给 AI 工具,这为数据滥用和泄露打开了大门。AI 在提升效率的同时,也成为数据安全的 “放大镜”,将原有的安全漏洞成倍放大。
影子 AI 的威胁同样不容忽视:98% 的企业存在员工使用未经批准的应用程序,其中包括大量未经授权的 AI 工具。平均每家公司拥有 1200 个非官方应用程序,其中 52% 的 OAuth 应用属于高风险类别。
图片来源:《2025年数据安全状况报告:量化人工智能对数据风险的影响》内页
小科普:OAuth(Open Authorization)是一种开放的安全协议,为第三方应用访问用户资源提供授权标准,其特点是通过令牌机制实现资源访问权限的授予,避免第三方获取用户的账户密码等敏感信息。比如你可以授权微信访问你的位置、通讯录等。
即使是经过批准的 AI 工具也并非绝对安全。以 Microsoft 365 Copilot 为例,90% 的企业存在敏感文件通过 Copilot 向所有员工暴露的情况,平均每个组织有超过 25,000 个敏感文件夹对全体员工开放。
在所有调查的组织中,凡是使用了 Salesforce 产品(比如 CRM 平台)的,存在至少一个账户可以导出所有数据,十分之一的账户可以自由导出所有 CRM 数据。这种过度授权在 AI 时代变得尤为危险。
Salesforce 是创建于 1999 年 3 月的一家客户关系管理 (CRM) 软件服务提供商,总部设于美国旧金山,可提供随需应用的客户关系管理平台。其于 2024 年 9 月推出企业级 AI 数字劳动力平台 ——Agentforce,通过整合 CRM 数据、业务逻辑与生成式 AI 技术,为销售、服务、营销等场景提供智能自动化解决方案,在提升企业沟通效率的同时,也进一步扩大了数据泄露的风险。
报告还揭示了 AI 模型安全面临的两大威胁:训练数据泄露和模型中毒。
训练数据泄露:九成企业存在云中敏感数据暴露,66% 的公司数据对匿名用户开放;
模型中毒风险:攻击者通过操纵训练数据来破坏 AI 模型性能,可能导致严重后果,如支付信息被篡改或医疗决策基于错误数据。
88% 的企业存在已停用但未禁用的 “幽灵用户”,平均每个组织有 15,000 个此类账户。这些账户为攻击者提供了侦察和数据窃取的通道,而不会触发警报。
多因素认证(MFA)的缺失也是重大安全隐患:七分之一的企业未在 SaaS 和多云环境中使用或强制执行 MFA。美国 2024 年最大的医疗数据泄露事件(造成 1.9 亿患者记录丢失)就归因于 MFA 缺失。
GIFP 协会一直关注人工智能对数据风险的影响,我们深刻认识到:人工智能在重塑量化投资行业的同时,也正在重新定义数据安全的边界。上述报告中揭示的敏感数据暴露、模型中毒风险、身份管理漏洞等问题,恰恰印证了我们在设计 2026 年 AQF 考试大纲时的前瞻性考量。
新大纲核心升级:AI 与数据安全深度融合
基于对行业风险趋势的精准把握,GIFP 在最新发布的 AQF 考试大纲中系统性植入了人工智能与数据安全的深度融合要求:
1.核心模块升级:将 AI 技术在量化投资中的应用作为核心模块;
2.能力要求革新:创新性地将数据安全治理提升为量化金融专业人士的必备能力;
3.实操能力聚焦:要求 AQF 持证人必须掌握 AI 模型的数据安全管理能力,包括训练数据的保护、模型风险的评估以及合规要求的满足。
这与报告中提出的 “数据安全就是 AI 安全” 理念完全契合。作为金融量化领域的专业认证,AQF 此次大纲更新体现了对 AI 时代数据安全的前瞻性思考 —— 量化投资依赖于高质量的数据和可靠的模型,而数据安全问题直接影响模型的准确性和稳定性。
人工智能正在重塑量化投资的未来,而数据安全是这一变革的基石。AQF 新大纲的更新为行业人才培养指明了方向,而 Varonis 的报告则为我们敲响了警钟。只有在创新与安全之间找到平衡,才能真正释放 AI 在量化金融领域的巨大潜力。
全球金融专业人士协会(简称GIFP)作为全球金融行业专业标准的设立机构,致力于携手全球合作伙伴推动GIFP下设各项专业认证。
GIFP中国是获得GIFP授权、在中国内地实施GIFP下设专业认证标准的管理机构。
GIFP中国认证的项目包括
☞CRMO注册风险管理师
☞CGFC注册绿色金融分析师
☞AQF量化金融分析师
☞AFV财务估值分析师
☞ESG CIP ESG特许投资分析师
☞FPP养老规划师等
