行业动态：保险公司调整AI相关保险策略 - 多家主要保险公司（AIG、Great American、WR Berkley）正寻求在保险条款中引入对人工智能风险的明确除外责任，特别是涉及智能体和语言模型的使用[1] - 调整策略的直接原因是与AI相关的潜在损失可能达到数亿美元甚至更高[1] - 行业担忧的核心并非单个索赔的严重性，而在于可能出现的相互关联、大规模且同时发生的损失，这种损失无法通过共担机制分散[1] - 行业无法承受的是AI提供商的一个错误导致1000或10000次损失同时发生的情况[2] 系统性风险特征 - 系统性风险的脆弱性并非由机构的绝对规模决定，而是由其互连结构决定，金融系统呈现出“稳健却脆弱”的动态特性[3] - 系统可能对大多数冲击表现出稳健性，但一旦问题发生，影响可能是灾难性的[4] - 初始错误一旦触及网络的“脆弱集群”，局部错误就可能演变为全球性灾难，网络互连程度越高，错误传播速度越快[4] - 连接性或资本化的微小变化可能使整个系统从稳定状态转变为临界状态，发生真正的“相变”[4] AI系统的传染性风险机制 - 生成式AI具备高度传染性系统的所有特征，当AI提供商部署有缺陷的更新、在模型参数中引入错误或遭受网络安全漏洞时，受影响的不是孤立用户，而是依赖同一基础设施的数千用户[5] - 每个客户不仅依赖于自身的使用，还依赖于全局模型的完整性，即使是最小的修改也会在所有用户中瞬间复制相同的行为[5] - 这种传播不是缓慢或渐进的，而是即时、同步和同质的，这正是保险公司现在恐惧的快速同步传染[5] 保险可保性的根本挑战 - 保险可保性历史上依赖于一个基本条件：大数法则，风险事件必须是独立的或充分异质的，以便损失在统计上能够相互抵消[6] - 网络风险已经不符合这一条件，网络损失高度相互关联，并具有严重的信息不对称特征[7] - 生成式AI强化了这种结构，创造了一个错误不仅频繁而且可能完全相同且同时发生的环境[7] - 当损失变得相关时，共担机制就会机械性地崩溃，保险设计上无法吸收那些结构上倾向于聚合的风险[8] 复杂系统与不可避免的故障 - 在复杂系统中，故障不是异常，而是不可避免的，意外源于交互，小错误在通过紧密耦合的网络传播时会放大[9] - 在恶劣环境中，错误信号是模糊的，交互是复杂的，系统变得容易受到意外事件的影响[10] - 生成式AI模型完全符合这种描述：结构不透明、行为非确定性、依赖少数全球提供商以及使用之间缺乏分离，创造了一个局部故障会变成系统性的系统[10] AI对保险业系统性风险的重新定义 - 传统上，由于互联性远低于银行业，保险业被认为不易受系统性风险影响，但这一假设依赖于一个隐藏前提：被保险的风险本身必须保持独立[11] - 随着AI的出现，这一前提崩溃了，首次出现了一种被保险的风险（网络风险、错误与遗漏、软件相关损害）在结构上相互关联[11] - 单个提供商、单个模型、单个更新或单个漏洞可能引发数千次同时发生的损失，互联性不再是保险市场的属性，而是风险本身的属性[11] - AI引入了一种聚合的、相关的、不可分散的风险形式，它不再是一种波动性风险，而是一种结构上同步的风险[12] AI驱动系统性风险的具体场景 - 设想一个在金融部门广泛使用的大型语言模型发生故障更新：一个部署在两千家银行的模型同时误解一项监管规则，后果（不合规、制裁、诉讼、客户撤资、集体诉讼）将是即时且完全同步的[13] - 自主法律代理可能产生系统性幻觉，生成虚假的法律引文或有缺陷的推理，如果在数百家公司部署，该错误将立即成为集体性错误[13] - 当模型产生看似合理但不透明的信号时，人类和机器都倾向于赋予其过度意义，微弱的信号可能被误解为真实的行为转变，而这可能仅仅是统计假象、数据集偏差或潜在漂移[14] - 这些误解可能创造反馈循环，将噪声变成真实冲击：紧急决策、定价变更、对依赖模型的调整，这被描述为自我实现的预言[15] 特斯拉案例研究 - 特斯拉案例揭示了关键功能极度集中的组织，任何事件都可能全系统传播，单个管理员拥有全局访问权限，数千名员工拥有提升的特权，尽管存在大规模数据提取，但举报人描述缺乏监控[16] - 数据流扩展到包括客户、商业伙伴以及与特斯拉有联系的广泛个人和公司，特斯拉不仅聚合自身数据，还聚合来自客户、合作伙伴、政府、分包商和监管机构的数据，创造了与2008年前金融网络极其相似的依赖结构[17] - 当整个车队依赖一个同时更新的单一软件模型时，一个缺陷可能产生大规模的相关冲击，这正是保险公司现在对生成式AI系统恐惧的场景[18] - 特斯拉作为一个具体例子，展示了软件同质性创造了如此大的聚合风险，以至于单个错误可能成为一个“大的系统性事件”[19] AI责任与法律风险 - “AI责任”问题是当今探索最少且最具爆炸性的问题之一，实践中无人知晓如果出现问题谁应负责[20] - AI提供商的合同包括严格的责任限制、性能保证排除以及将几乎所有风险转移给用户的条款，由于需求几乎无弹性，提供商可以单方面强加其条款，造成显著的合同不对称[20] - 在受监管的行业，公司被要求控制其模型，但使用的模型是不透明、外部且未经审计的，这造成了深刻的矛盾：公司对其没有实质控制权的工具承担法律责任[21][22] - 这种情况造成了三重缺口：监管缺口、合同缺口和保险缺口，结果是产生了一种法律系统性风险，其特征是责任分散、依赖集中以及风险分配极度低效[23]

财务业绩表现 - 公司保险业务在上半财年实现创纪录的30%增长 [1] 增长驱动因素 - 增长得益于将公司数据（如云分散分析）整合至穆迪的网络安全解决方案中 [2] - 新保险数据集和产品功能的推出，以及与新旧承保商和经纪商合作伙伴关系的深化也推动了增长 [2] - 与穆迪的产品整合帮助穆迪提供了涵盖承保、投资组合优化和系统性风险管理的端到端解决方案 [3] 行业合作与领导地位 - 公司是穆迪网络行业指导小组的创始成员，该小组成员包括再保险商、经纪商和模型供应商，旨在共同促进对网络风险的理解和支持市场增长 [4] - 该小组致力于解决网络保险市场增长的限制，包括缺乏标准化和网络风险快速演变带来的不确定性 [5] - 公司被Zywave评为2025年6月年度网络技术提供商 [7] 数据与技术优势 - 独立验证凸显了公司数据集的强度，Gallagher Re发现将公司的外部扫描洞察加入现有承保方法后，保险公司识别高风险公司的准确度可提高高达40% [6] - Marsh McLennan确认了公司安全评级、13个风险向量与网络安全事件可能性之间存在统计学上显著的相关性 [6] - 公司利用先进人工智能，拥有行业最广泛的外部网络安全数据集，为超过3,500名客户和65,000多个活跃组织提供服务 [8] - 公司主动发现跨基础设施、云环境、数字身份以及第三、第四方生态系统中的安全漏洞 [9] - 新增了与Lokker合作开发的隐私评估功能，并扩展了网络威胁情报组合 [9]

调查核心观点 - 怡安集团发布第19版《全球风险管理调查》揭示企业风险格局发生重大转变 地缘政治波动首次进入全球十大商业风险之列 [1][2] - 调查基于全球63个国家近3000名高管和风险专业人士的反馈 显示地缘政治风险排名自2023年以来飙升12位 反映出全球事务动荡对企业战略和财务表现的深远影响 [3] - 公司强调风险相互关联性增强 技术、气候压力、贸易中断和劳动力变化共同塑造组织韧性 成功取决于将风险管理视为竞争优势来源而不仅是保护措施 [9][10] 风险排名关键变化 - 网络安全风险连续位居当前和未来风险榜单首位 但仅13%的企业量化了其网络风险敞口 导致保险不足和重大财务脆弱性 [5] - 地缘政治波动成为2025年最显著新晋风险 首次跻身全球十大商业风险 反映市场、贸易关系和监管环境不稳定的普遍担忧 [2][3] - 人工智能和气候变化首次出现在2028年未来十大关键风险预测中 凸显新兴力量正在快速重塑风险格局 [8] 企业风险管理现状 - 绝大多数企业准备不足 仅14%的受访者跟踪其面对十大风险的敞口 仅19%使用分析工具衡量保险计划有效性 [4] - 企业需以更主动、集成的风险管理取代被动应对方式 将实时分析、情景规划和系统性思维嵌入各项职能 [4][5] 劳动力风险认知转变 - 劳动力相关风险排名显著下降 未能吸引或留住人才的风险从2023年全球第四位跌出前十 但公司警告这不代表重要性降低 [6][7] - 人力资源挑战仍与业务韧性各方面深度关联 顶尖风险如网络威胁、供应链中断、地缘政治波动均对劳动力产生直接影响 [7] 未来风险应对策略 - 企业需将网络风险嵌入董事会层面战略 通过投资风险量化和将韧性视为竞争差异化因素来应对日益复杂的网络威胁 [5] - 面对人工智能变革工作方式 领导者需投资分析能力、个性化方案和技能发展 以保持劳动力在快速变化中的敏捷性和韧性 [7] - 技术、地缘政治和环境压力的融合要求领导者预测这些大趋势如何相互作用 并构建足够灵活的战略以适应未来变化 [9]

文章核心观点 - 怡安集团发布的《2025年全球风险管理调查》显示，地缘政治波动风险在19年调查历史中首次进入全球十大风险，排名跃升12位[1][2] - 网络攻击或数据泄露连续成为当前及未来首要风险，但企业准备不足，仅13%的受访者量化了其网络风险敞口[5][6] - 尽管存在持续的人才短缺和医疗成本上升问题，人力资本风险却跌出十大风险排名，引发对风险关联性认知不足的担忧[7][9] - 人工智能和气候变化成为2028年未来十大风险的新晋力量，反映了技术和极端天气对全球业务的加速影响[9][10][12] 2025年全球十大风险排名 - 网络攻击或数据泄露[8] - 业务中断[8] - 经济放缓或复苏缓慢[8] - 监管或立法变化[8] - 竞争加剧[8] - 大宗商品价格风险或材料短缺[8] - 供应链或分销失败[8] - 声誉或品牌损害[8] - 地缘政治波动[8] - 现金流或流动性风险[8] 风险认知与准备度差距 - 仅14%的受访者跟踪其对十大风险的敞口，仅19%使用分析工具评估保险计划价值，凸显企业从被动应对转向主动战略的紧迫性[3] - 网络风险意识与行动存在显著差距，仅13%的受访者量化了网络风险敞口，导致保险不足并使企业面临财务和声誉损失[6] 2028年未来十大风险展望 - 网络攻击或数据泄露[12][14] - 经济放缓或复苏缓慢[12][14] - 竞争加剧[12][14] - 大宗商品价格风险或材料短缺[12][14] - 地缘政治波动[12][14] - 监管或立法变化[12][14] - 业务中断[12][14] - 人工智能[12][14] - 气候变化[12][14] - 现金流或流动性风险[12][14] 专家观点与行业趋势 - 数字化平台和AI技术的快速应用扩大了威胁行为者的攻击面，AI增强的网络事件正在上升，企业领导者正转向主动风险管理策略[5] - 2024年是有记录以来最热的一年，全球保险灾难损失超过1450亿美元，气候风险被日益视为系统性业务风险[10] - 人力资本策略在AI变革工作方式的背景下更为关键，需投资于分析、个性化和技能发展以保持员工队伍的敏捷性和韧性[9]

网络安全风险对股东价值的影响 - 导致声誉风险的网络事件平均造成股东价值下降27% [1] - 2023年研究显示重大网络事件导致次年股东价值平均下降9% 2025年研究进一步分析了1400多起全球网络事件 [2] - 在分析的1414起网络事件中 56起演变为声誉风险事件 这些事件定义为引发重大媒体关注并导致股价显著下跌的网络事件 [7] 最具破坏性的网络攻击类型 - 恶意软件和勒索软件攻击最可能引发声誉损害 占所有声誉风险事件的60% 尽管仅占网络事件总数的45% [7] 企业应对策略 - 主动风险缓解和危机响应至关重要 因为声誉风险大多无法通过保险转移 [3] - 价值恢复的五大驱动因素包括准备程度、领导力、快速行动、沟通和变革 这些是减轻声誉影响的关键杠杆 [7] 行业趋势与挑战 - 网络风险已从技术问题转变为董事会层面的战略问题 [3] - 网络威胁日益复杂和相互关联 企业需要更清晰地了解自身风险敞口 加强网络安全与保险策略的协调 [4] 研究方法与工具 - 报告数据来自公司的Cyber Quotient Evaluation 这是一个专利的全球电子提交平台 可简化网络保险承保流程并提供可操作的洞察 [5]