数字经济观察网 - 软信官网

AI技术的爆发式普及，正在重塑网络攻击的形态，也给企业风险管理带来了前所未有的挑战。当你的聊天机器人胡乱承诺折扣，或者高管的“深度伪造”视频让财务转账巨款时，这些损失保险公司会买单吗？

答案可能是：不会，除非你能证明你管好了AI。

随着Air Canada聊天bot误判、Arup公司被Deepfake诈骗2500万港币等高调事件的频发，保险行业正在经历一场迟到的但必要的觉醒。网络安全保险作为企业风险的最后一道防线，其对AI风险的容忍度正在急剧下降。

对于我们网安人来说，这不仅意味着新的风险，更意味着安全治理必须跟上，否则企业的“保单”可能变成一张废纸。

保险公司的焦虑：这笔账该怎么算？

AI技术的普及让“风险”的定义变得模糊。传统的网络安全保险（Cyber Insurance）甚至商业综合责任险（CGL），在面对AI引发的“身体伤害”或“名誉损失”时，往往显得无处安放。

正如Holland&Knight律所合伙人Thomas Bentz所言，这个行业正处于“困惑与成长”的阵痛期。如果一个AI程序导致了伤害，它到底属于常规责任险，还是网络安全险？这种界限的模糊，导致保险公司甚至试图在企业保单中完全排除AI相关责任。

核心问题在于：网络保险本身还很年轻（仅约20年历史），而AI的爆发更是近一两年的事。保险公司缺乏足够的历史数据来精算风险定价。简单来说，他们还没看明白，所以不敢轻易接单。

主动防御：不仅是安全，更是“投保资格”

虽然行业尚未形成统一的标准化标准，但风向标已经出现。IFA Academy创始人Panos Leledakis透露，保险人正在暗中观察企业的AI治理水平。

如果你在申请或续保网络保险时，能展示出以下几方面的落地措施，极有可能获得保险公司的青睐，甚至更优的费率：

1.有章可循：制定明确的AI使用政策和治理规范。

2.数据围栏：对敏感数据的访问和AI输入/输出有严格的控制。

3.全员意识：针对员工进行AI滥用和钓鱼（尤其是Deepfake）的专项培训。

这实际上是在告诉我们：AI治理已不再是合规部门“自嗨”的文档堆砌，而是实打实的省钱工具。

对抗Deepfake：保险人给出的“硬指标”

针对目前最猖獗的深度伪造诈骗，保险公司在风险评估中已经开始寻找特定的技术对抗措施。如果你的企业想要覆盖此类风险，Leledakis建议检查以下安全配置是否到位：

强化认证与回拨协议：单纯的多因素认证（MFA）可能已经不够，对于资金转账等敏感操作，必须强制实施线下或视频回拨确认。

人工把控：凡是由AI辅助生成的客户沟通内容，必须有人工审核环节。

公共模型禁令：严禁将敏感或受监管的数据输入公共大语言模型（LLM）。

可追溯性：对AI的输出进行披露、记录和审计。

虽然目前这些审查更多是“方向性”的，但在未来一到两年内，随着保险产品的迭代，它们极有可能变成标准化的免赔额触发条件或承保前提。

新兴风险：聊天机器人也是“合规地雷”

除了直接的欺诈，AI应用本身也在制造法律风险。数字风险保险公司Coalition在其2025年的报告中指出，聊天机器人已成为新兴的隐私风险源。

报告显示，有5%的网络隐私索赔涉及聊天机器人。原因令人咋舌：许多聊天widget在未征得用户同意的情况下“拦截”并记录了对话，这触犯了诸如《佛罗里达州通信安全法》等老牌法律。原告律师正利用这一点，发起了大规模的“数字窃听”诉讼。

这意味着，你部署在官网上的AI客服，如果合规审查不到位，可能直接给公司招来集体诉讼。

前瞻布局：Deepfake险种已问世

尽管挑战重重，市场总是在解决问题中进化。Coalition已率先在美、英、加等国推出了针对“深度伪造名誉损害”的附加险。这包括取证分析、法律删除支持以及危机公关服务。

Coalition的安全研究员Daniel Woods指出，Deepfake攻击正遵循从“政客名流”向“普通企业”下沉的趋势。对于大多数企业而言，高管出镜宣传是刚需，因此无法从根本上消除风险素材被窃取的可能。

在这种情况下，购买专门的保险+强化内部鉴伪能力，成为了最务实的应对之策。此外，如果你的保单中包含“错误与遗漏”险种，部分AI胡言乱语造成的损失或许能在此项下索赔，但这取决于具体的条款措辞。

对于网络安全从业者和CISO们来说，AI不仅是技术升级的工具，更是风险管理的试金石。

保险公司的态度转变是一个明确的信号：市场不再信任“裸奔”的AI应用。我们必须从现在开始，建立AI治理框架，落实数据管控措施，并将这些动作转化为企业风险资产的一部分。这不仅是保护企业资产，更是在这个AI狂飙的时代，证明我们专业价值的最佳时刻。