S&P 500的AI風險揭露：聲譽、網路安全及規定(A)面—序言、聲譽風險揭露、網路安全風險揭露-2025/11/26

這篇是Harvard Law School Forum on Corporate Governance網站在2025年10月15日刊出的文章"AI Risk Disclosures in the S&P 500: Reputation, Cybersecurity, and Regulation"，原文是The Conference Board的調查結果。網址：https://www.conference-board.org/publications/AI-risk-disclosures-in-the-S-and-P-500-reputation-cybersecurity-and-regulation

這份報告分析了美國最大公司在2023至2025年間年度檔案對AI風險之揭露，就董事會議成構成、投資人期待及未來幾年監理監督，提供了洞見。由於本文頗長，故分為兩部分。本部分為序言、聲譽風險揭露、網路安全風險揭露。

該文有以下幾個要點：

*AI以快速成為企業風險主流，2025年有72%的S&P 500公司至少有揭露一項重大AI風險，2023年僅有12%。

*AI風險揭露在金融、醫療保健、工業、IT及消費者非必需品業快速揚升—先期的採行者面對到監理機關對其資料與公平性、自動化營運風險以及在消費者市場內聲譽暴險的監理審查。

*監理風險是S&P 500最主要的AI憂慮事項，具備強勁的治理和積極監督十分重要，公司表示偏見、假訊息、隱私出問題或者無法落實，都會快速破壞信任與投資人信心。

*當AI擴大攻擊面並帶來更複雜的威脅時，網路安全就是核心問題，影響到董事會做好AI控制、測試及供應商監督之期待。

*法律與監理風險，在揭露裡越來越重要，因為公司面對著分歧的全球AI規定、升高的監理要求，以及演變中的訴訟暴險，所有這些都需要董事預測監理分歧，並將法律、營運及聲譽風險整合進AI治理。

以下分享一些內容。

聲譽風險揭露

2025年揭露中重點的聲譽風險問題有：

*落實與採行的風險（45家公司）：公司注意到，如果AI專案未能達成承諾的結果、整合不理想，或被視為無效的話，會傷害聲譽。他們指出過度承諾或管理不當的採行，會引起利害關係人懷疑。

*消費者面對的AI（42家公司）：公司視在產品、服務及消費者互動方面直接使用AI，是重要壓力點。他們認為不當措施，比如錯誤、不當回應，或服務中斷會被注意且有所傷害，特別是消費者導向的品牌。

*隱私與資料保護（24家公司）：某些揭露顯示了不當處理敏感資訊是聲譽風險。他們強調隱私外洩會引發監理行動及更強的反彈，特別是在技術、醫療及金融業。

*營運績效和競爭風險（13家公司）：某些公司指出，AI投資績效不佳或失調，會破壞競爭力、弱化市場對領導策略之認知。

*幻覺與不正確的產出（11家公司）：不可靠或錯誤的AI生成內容，會破壞信任、降低信任，可能會引發監理或法律結果。

*偏見與公平（7家公司）：少數組織指出，在某些重視公平、信任和遵循義務的產業，歧視或偏見的結果特別會受到聲譽傷害。

*籠統而不夠具體（13家公司）：某些揭露說，以籠統詞彙而未詳加說明起因，會有聲譽風險，突顯了AI本身就是一個重大暴險。

*其他AI聲譽風險（36家公司）：被提到的其他風險包括，違反監理要求、法律責任暴險、網路安全失靈，以及仰賴AI導向的模型，每個都可能會破壞品牌信任及利害關係人信心。

展望未來，聲譽風險揭露可能會進一步朝向特殊控制措施。對長字輩主管及董事會而言，優先事項是將聲譽問題轉化為可行的治理：將AI納入企業風險架構、制定暴險及減緩的KPIs，以及明確區隔內部與消費者導向的應用程式。

網路安全風險揭露

2025年揭露中重點的網路安全風險有：

*生成式AI會增強網路風險（40家公司）：最多公司稱AI是強大的加速器，可擴大規模、複雜性以及網路攻擊的不可預測性。他們警告AI會加速入侵企圖、降低偵測窗口以及讓防禦和抑制複雜化。

*第三方與供應商的風險（18家公司）：很多揭露指出，透過仰賴雲端供應商、SaaS平台或其他外部伙伴而產生的漏洞。公司強調，如果供應商出問題的話，即使最強的內部防禦措施，也無法阻擋暴險。

*資料外洩與未授權的存取（17家公司）：入侵仍是核心問題。金融與科技公司特別強調—AI導向的攻擊會如何外洩敏感的客戶及商業資料，結果包括有監理處罰、客戶流失，以及聲譽受損。

*勒索軟體與惡意軟體（10家公司）：公司注意到，AI會讓攻擊者自動生成惡意程式碼，並提高攻擊的量與複雜性。工業與醫療保健業供應商指出勒索軟體破壞性特強，有可能會中斷營運、傷害基本服務。

*關鍵基礎設施（6家公司）：公用事業、國防與能源公司，都強調AI帶動的攻擊其危險不只是對數位系統，還有實體營運，這對公共安全、政府監督與服務延續性影響頗大。

*營運中斷（6家公司）：少數公司強調，AI相關的網路事件會有直接中斷業務延續性的風險。通訊、公有事業及工業公司警告，停機會威脅其核心服務的可靠性。

*釣魚程式與社交工程（2家公司）：生成式AI會讓釣魚程式說服力更高的風險，並讓員工被欺騙、竊取憑證和資料，或破壞系統。

與聲譽風險一樣，網路安全揭露已從籠統的聲明，轉變為對防禦策略的具體承諾，包括AI紅隊、獨立的證明、韌性測試，以及保護關鍵基礎設施的產業級架構。董事會應該要準備好：對供應鏈漏洞及AI帶動的不利場景升高之審查。

資料來源：https://corpgov.law.harvard.edu/2025/10/15/ai-risk-disclosures-in-the-sp-500-reputation-cybersecurity-and-regulation/