商傳媒|責任編輯/綜合外電報導

近期有企業因使用人工智慧(AI)大型語言模型而面臨鉅額開支,凸顯了企業導入 AI 應用時潛藏的成本風險。據《Axios》報導,一家未具名公司上個月在 Anthropic 的 Claude 大型語言模型上,因員工未設定使用上限,意外產生高達 5 億美元的費用。這起事件並非單一案例,優步(Uber)技術長 Praveen Neppalli Naga 也曾透露,該公司在四個月內就用完了 2026 年全年的 AI 編碼預算。

然而,產業專家指出,實際的 AI 安全成本瓶頸並非模型運算(Token)費用,而是對其產出進行驗證的巨大開銷。資訊安全公司 Contrast Security 的分析揭示,相較於 API 運算成本,人為驗證才是主要的成本負擔。

Contrast Security 針對 AI 資安掃描工具的分析顯示,掃描 180 萬行程式碼時,Claude Sonnet 4.6 模型本身的 Token 運算成本僅約 315 美元,卻產生 3,560 個潛在資安問題。若由資安工程師(年薪 15 萬美元)平均花費半小時處理每個問題,這些驗證工作所需的勞動成本將高達 12.8 萬美元,遠超模型運算費用。

分析進一步指出,AI 掃描工具本質上具有非確定性。對一份 5 萬行程式碼進行三次掃描,其自身發現的重複性僅約 17%。即使發現一致,其判斷的嚴重性分數也可能不同。即使使用 Claude Security(基於 Claude Opus 4.7)等模型,在相同程式碼庫上,其結果的重現性也僅有 25%。多模型分析(包含 Claude Opus 4.7、谷歌 Gemini 2.5 Flash 及 OpenAI 的 GPT-5.5)針對 523 個發現進行比對後,僅有 14.9% 為實際存在的漏洞,而約半數的其餘標記都是誤報(False Positive)。

Contrast Security 資訊長 David Lindner 批評 AI 掃描器的非確定性,指出同一份程式碼執行多次卻無法產生一致結果,導致難以建立可重複的安全計畫。他強調,需要確定性工具提供一致結果和運行時情境,才能真正信任風險評級。ULTRA RED 執行長 Eran Shtauber 也認為,AI 降低了產生資安工作的成本,但未能自動降低證明工作價值的成本。他建議,AI 最佳的投資報酬率來自於其推理能力能創造價值,而非取代既有的確定性系統。

為有效管理 AI 安全成本,專家建議將 AI 應用範圍限制在新程式碼或高風險變更上,並結合靜態應用程式安全測試(SAST)、互動式應用程式安全測試(IAST)等確定性工具,同時納入運行時可見性。此策略能將 AI 產生的假設,在成為實際營運發現前進行驗證,確保其效益與可信度。