​当AI开始"工作"，安全才是ROI真正前提

当AI开始"工作"，安全才是ROI真正前提

新华社数据显示，今年3月，中国日均Token调用量已超过140万亿，两年增长超千倍。更有观点指出，围绕Token的调用、分发与结算，一套新的价值体系正在加速形成。与此同时，OpenAI宣布将Codex、ChatGPT与浏览器产品整合为统一超级应用，将AI编程智能体推向更大规模的企业场景。Codex周活跃用户已突破500万，其中40%已是非开发者用户，分析师、投资经理、营销人员正在不断涌入。

这标志着一个关键的转变正在发生。有第三方分析直接点明：AI正在从聊天时代进入执行时代。过去两年，ChatGPT解决的是回答问题的需求；Codex解决的是完成工作的问题。一个告诉你答案，另一个把事情做完。当AI智能体能够自主读取代码库、调用工具、修改数据库记录、发起工作流，语言已经成为可执行的指令，AI正在成为贯穿企业的新型执行层。

烧Token容易，ROI难算，但安全成本被遗忘了

Token消耗的爆发式增长，随之而来的是一场关于ROI的集体反思。媒体报道揭示了一组令人警醒的数字：企业每花1美元在AI Token上，0.44美元用于修复AI生成的Bug，0.27美元用于重写AI产出的代码，隐性损耗接近80%。全球仅14%的CFO表示能看到AI投资有清晰可衡量的回报。Uber四个月花完全年AI Token预算，微软悄悄停止大部分员工的AI编程工具许可，硅谷大厂纷纷开始限制员工Token用量……这场烧钱竞赛正在迎来理性回归。

企业开始追问：这钱花得值不值？

这是一个必要的追问。但在这场成本审视中，有一项支出几乎从未被纳入计算——安全。

当AI智能体深度嵌入企业工作流，它触及的不只是效率，还有数据、权限和业务决策。一次提示词注入攻击导致的敏感数据外泄，一次智能体越权操作引发的业务流程失控，一次AI输出被操控造成的客户损失……这些风险带来的代价，可能远超企业节省的Token费用。

安全不应该是企业算完ROI之后才想起来的问题，它应该是ROI能够成立的前提条件。

执行时代的安全挑战，传统架构无法覆盖

问题的根源在于，AI引入了一种传统安全架构从未被设计来应对的新型风险模式。

过去，企业的安全边界相对清晰：防止用户失误，防止外部攻击者入侵。而当AI智能体获得访问数据、调用工具、触发工作流的能力，安全团队需要回答的问题变成了：AI系统被允许做什么？它的行为是否与业务意图一致？一次工具调用是否在正确的时间、以正确的理由发生？

Check Point《2026年云安全报告》呈现的数据印证了这一困境：77%的企业已针对AI更新了安全策略，但仅有26%表示具备执行这些策略的架构能力。超过半数的企业已发生AI相关安全事件，更多企业甚至缺乏足够的可视性来判断事件是否已经发生。仅有17%的企业广泛部署了运行时大语言模型管控。

差距的根源是架构层面的碎片化。某个团队管理员工AI使用，另一个团队负责AI应用安全，还有一个团队审查模型，各自只看到图景的一部分，没有人能看到AI工作流的完整执行路径。从用户的一条提示词，到模型的一次输出，到智能体的一次工具调用，再到最终触发的业务操作，AI风险恰恰就在这条路径上流转。

AI Defense Plane：为执行时代而设计

应对这一挑战，Check Point提出的答案是统一的安全架构，而非在现有体系上叠加更多单点工具。

Check Point AI Defense Plane围绕企业AI风险的三个来源：使用AI工具的员工、将AI嵌入工作流的应用以及自主访问数据和调用工具的智能体。企业需要构建协同管控模型，覆盖发现、保护、治理和保障四项核心能力。

因此，可视性是首先需要解决的问题：AI在哪里被使用、什么数据流经它、它能在哪里行动？保护则在运行时介入：拦截提示词注入、阻止敏感数据外泄、管控违反策略的工具调用。治理确保策略能够跨用户、应用、智能体和环境一致执行，而非停留在文件层面。安全保障需持续测试AI系统和管控措施的实际表现。因为AI行为随模型更新、工具变化和工作流调整而持续演进，一次性部署远远不够。

这套架构的核心逻辑是：安全必须在运行时发挥作用，在AI行为被决定的地方介入，而不是在损失发生后再响应。一个提示词可以导向一次工具调用，一次工具调用可以修改数据，一条被修改的记录可以触发另一个工作流。等到告警被审查时，操作可能已经完成。

在日均Token消耗突破140万亿的当下，AI执行层正在以前所未有的速度嵌入企业的每一个工作环节。这个规模意味着效率，也意味着风险敞口在同等速度下扩张。在这场Token经济的浪潮中，能够真正算清ROI的企业，一定是那些把安全纳入AI架构基础之中的企业，而不是在事故发生后，再来补算安全缺失的代价。