世界经济论坛（World Economic Forum，WEF）在其最新发布的年度《全球网络安全展望》报告中指出，2026 年网络安全风险将进一步加速上升，其中 AI 技术进展 是重要推动因素之一，同时还叠加了地缘政治分化加剧以及供应链复杂性持续上升等结构性挑战。

报告强调，尽管威胁环境正在快速演变，但应对路径并非全然陌生。报告指出：“从根本上看，提升集体网络韧性已经成为一项经济与社会层面的必然要求。网络安全是一个仍然可以、也必须通过协作取得实质进展的领域——即便在全球分裂、经济压力和高度不确定性的背景下，集体行动依然能够推动整体进步。”

WEF 认为，未来一年不仅将考验全球在技术层面的准备程度，也将严峻检验政策协调能力、伦理框架建设以及跨组织协作机制，这些因素共同决定着一个日益数字化世界的防御能力。

报告背景与调研方法

该报告于本周一正式发布，全书共 64 页，研究基础包括：

• 2024 年秋季发放的一项调研问卷，围绕 19 个问题，共收集 92 个国家 804 名受访者 的反馈；

• 受访对象涵盖 企业高管、学术界、民间组织及公共部门的网络安全负责人，其中包括 316 名首席信息安全官（CISO）；

• 研究还结合了多场专题研讨成果，其中包括 WEF 网络安全中心（Centre for Cybersecurity）CISO 社群中 21 位高管 的闭门讨论。

这是 WEF 发布的第五份年度网络安全报告。上一年度报告已指出，地缘政治紧张、供应链高度复杂、监管规则碎片化以及技术快速迭代，正在共同塑造一个高度复杂且不可预测的网络安全时代，而今年的报告延续并深化了这一判断。

核心要点：

在本年度报告的主要结论中，AI 被明确视为未来网络安全变化的最关键变量：

• 94% 的受访者认为，AI 将在 2026 年成为网络安全领域最重要的变革驱动力；

• 87% 的受访者表示，与 AI 相关的安全漏洞在过去一年中明显增加；除 AI 风险外，其他显著上升的网络风险依次包括：网络欺诈与钓鱼攻击、供应链中断，以及软件漏洞被利用。

• 各国对自身网络安全准备度的信心正在持续走低：31% 的受访者对本国应对重大网络事件的能力缺乏信心，高于去年的 26%；

• 各地区差异明显：中东和北非地区有 84% 的受访者 对本国保护关键基础设施的能力表示有信心；而在 北美地区，这一比例仅为 38%。

• 在组织自身网络韧性评估方面，不同行业态度差异显著：23% 的公共部门及国际组织代表认为自身网络安全准备不足；相比之下，仅有 11% 的私营部门受访者 对本企业的网络安全能力持负面看法；

• 由于地缘政治动荡，91% 员工规模超过 10 万人的大型组织已经调整了网络安全战略。

CEO 与 CISO 的风险认知出现结构性差异

报告还揭示了一个值得关注的现象：CEO 与 CISO 在网络风险优先级判断上并不完全一致。

• 在 2025 年调查中，多数 CEO 认为，勒索软件、网络欺诈与钓鱼攻击、供应链中断是最主要威胁；

• 在最新调查中，CEO 将网络欺诈与钓鱼攻击上调为首要风险，其次是 AI 漏洞 和 软件漏洞被利用。

而 CISO 的看法则有所不同：

• 在 2025 年调查中，CISO 同样将勒索软件列为首要威胁，但将 供应链中断 排在第二；

• 在最新调查中，勒索软件和供应链中断仍位居前两位，第三位则变为 软件漏洞被利用。

报告分析指出，这种差异反映出：CEO 更关注欺诈等风险对整体业务和财务层面的冲击，而 CISO 更担忧勒索软件对关键 IT 与 OT 系统可用性造成的直接运营破坏。

AI 扩大攻击面，也重塑防御模式

WEF 在报告中重点讨论 AI，是因为领导层普遍认为 AI 将成为今年网络安全格局变化的核心变量。

报告指出，AI 系统的大规模引入显著扩大了攻击面，并引入了传统安全控制体系未曾覆盖的新型漏洞。同时，攻击者正积极利用 AI 提升攻击的规模、速度、复杂度和精准度。

但报告也强调，防御方同样可以借助 AI 增强安全能力。不过，前提是部署方式必须高度审慎。报告警告称：

“AI 的价值取决于是否被规范、理性地使用。缺乏治理的部署可能引入新的风险，包括配置错误、决策偏差、对自动化的过度依赖，以及对对抗性操纵的脆弱性，除非组织在设计阶段就嵌入强有力的安全护栏，并实施持续监控。”

报告进一步指出：AI 确实能够提升网络安全水平，但前提是必须运行在健全的治理框架之内，并始终以人类判断为核心；与此同时，安全控制过多也可能引发业务摩擦，因此必须在安全与效率之间取得精细平衡。

AI 安全治理正在改善，但信任仍是障碍

报告显示，一些积极变化已经出现：

• 64% 的受访者表示，其组织在部署 AI 工具前已建立安全评估流程，显著高于 2024 年秋季调查中的 37%；

• 77% 的组织已在网络安全领域采用 AI，主要应用场景包括：

• 钓鱼攻击检测（52%）

• 入侵与异常响应（46%）

• 用户行为分析（40%）

但在实际落地过程中，挑战依然突出。受访者认为，主要障碍包括：

• 知识或技能不足（54%）

• 仍需大量人工监督（41%）

• 对潜在风险的不确定性（39%）

报告据此总结认为：“信任”仍然是 AI 在网络安全领域大规模应用的关键制约因素。

报告强调，随着 AI 深度嵌入安全运营，自动化与人工判断之间的平衡将变得愈发关键。AI 在处理高频、重复性任务方面表现出色，但在情境判断与战略决策方面仍存在明显局限。

报告警告称，对缺乏治理的自动化系统过度依赖，可能制造新的盲区，并被攻击者加以利用。

展望 2030：多重新兴技术风险正在酝酿

尽管 AI 是当前焦点，但报告指出，到 2030 年，多种技术与风险因素将对网络安全产生深远影响，包括：

• 自主系统与机器人技术

• 量子技术

• 数字货币

• 航天技术与海底电缆

• 自然灾害与气候变化

报告预计，到2030年末，自主系统将在制造、物流、医疗和公共空间中广泛参与物理决策执行，这将形成新的网络—物理复合风险形态，安全事件可能在数秒内影响安全与服务质量，极大压缩响应窗口。

在量子领域，报告认为，量子技术将从理论威胁演变为具有现实影响的选择性风险。国家级或资源充足的攻击者，可能利用量子加速能力针对高价值目标发起攻击；与此同时，防御方也将借助量子增强分析与感知能力，形成新的攻防竞赛格局。

结论：网络韧性是共同的战略责任

报告最终强调，构建安全的数字未来，不能仅依赖技术手段。这需要，果断而有前瞻性的领导力、清晰的责任共担机制、持续提升整体安全“底线”，而非仅服务于资源最充足的组织。随着数字世界与物理世界的边界不断模糊，真正具备竞争力的组织，将是那些把网络韧性视为一种共同的、战略级责任的组织——这种韧性不仅支撑信任、推动创新，也守护着全球社会高度互联的基础结构。