【2026 企業資安大調查｜企業AI資安挑戰】人才和資料治理是AI資安兩大難題

隨著越來越多企業擁抱生成式AI，AI資安風險也成了資訊長和資安長當前最大的新挑戰。根據2026年iThome CIO&CISO大調查，從生成式AI發展成熟度來看，臺灣大型企業中，有23%的企業已經在正式環境中運用生成式AI，另有33%企業正在導入和驗證階段，26%的企業今年才開始計畫。換句話說，超過2成資安長日常工作已經開始面臨種種AI資安挑戰，另有5成資安主管至少得開始準備因應。

企業積極擁抱AI，面臨最大的資安挑戰是什麼？根據今年調查結果，26%的企業最頭痛AI資安和治理人才的不足，21%企業則苦於自己的資料治理成熟度不足。我們在去年大調查中，盤點過企業AI準備度，企業自評在資料管理和治理風險上，都只有達到了3成的準備，甚至只有不到一成的企業，有能力做到8成準備度。

換句話說，大多數企業都是在資料管理和治理風險準備度嚴重不足的情況下，就積極地展開了GenAI創新的嘗試，甚至處於右腳踩油門加速，左腳卻同時要踩住煞車，邊創新邊強化管理的處境。AI相關資料和治理面的準備度不足，成了企業擴大成果的絆腳石，也反映在AI資安的制度面和人力面挑戰。

從今年調查可以看到，AI技術面帶來的風險，還不是企業最大的挑戰，像是模型安全測試與AI安全部署流程不足，模型行為和輸出持續監控不足，這兩項只有不到3%的企業視為最大挑戰。但這兩項是國外大型企業探討AI擴大規模時的重要課題，臺灣企業在生成式AI的發展上，多數企業仍落後於國外大企業的腳步，還沒面臨到規模化的AI資安技術挑戰，臺灣企業多數仍苦於剛起步的資料面和人力面的挑戰。

不同生成式AI發展成熟度所面臨的最大AI資安挑戰，更可以看到導入AI的企業，當前和下一階段課題的變化。

從GenAI發展成熟度的計畫階段、導入和驗證階段、正式上線階段到擴大採用階段來看，處於計畫階段和導入驗證階段的企業認為，資料治理成熟度不足的挑戰很大，但是到了後期，正式上線之後，資料治理問題漸漸獲得改善，不再是最大課題。AI安全治理框架的挑戰，則是發展到正式上線階段後，會開始成為導入企業的主要資安挑戰，在計劃階段的企業，就少有企業視為難題。不過，不論處於哪一個發展成熟度階段，都共同面臨了AI資安與治理人才不足的共同課題，至於影子AI工具的挑戰，則呈現Ｍ型變化，處於計畫階段者，得想辦法盤點出企業影子AI，等到正式上線階段，影子AI的問題明顯減少，但要開始擴大規模採用AI時，企業內部員工又會開始想用第三方的AI技術或工具，又會再次浮現影子AI的課題，企業不能輕忽影子AI問題的復發。為了因應各種AI資安風險，企業目前最常見的防範對策仍舊是聚焦在人員AI素養的提升。