电子邮件安全的经济学正被人工智能重新定义。过去，安全投资回报率计算相对简单：部署基于模式匹配的系统，接受一定误报，并配备安全运营中心处理升级事件。当时的数学模型之所以有效，是因为攻击遵循机器可学习的模式。然而，人工智能打破了这一模型。

当前，企业安全团队将大量分析师时间耗费在调查电子邮件安全的误报上。行业研究表明，相当比例的电子邮件安全警报属于误报，每项调查平均耗时可观。与此同时，人工智能生成的攻击却因安全团队淹没在噪音中而得以成功，这些团队无暇关注那些不符合历史模式的新型威胁。

对于预算有限的IT领导者而言，问题并非单纯需要更多投资，而是现有安全架构本身已无法产生可接受的回报。人工智能改变了攻击者的经济模型，显著降低了攻击成本并提高了成功率，而防御能力却未能同步跟进，尤其是那些为前AI时代威胁构建的安全方案。

当前的电子邮件安全造成了可预测的运营负担：误报率居高不下，分析师大量时间被其占据，每次调查耗时显著。这种低效会随组织规模扩大而同步放大，其影响在各个层级都相似：当安全团队调查虚假警报时，针对高管的商业电子邮件欺诈可能需要在队列中等待数小时。安全运营中心在开展任何主动安全工作前，其负荷就已远超正常容量。

为何增量式修复无效？一些组织选择雇佣更多分析师，但这并未解决架构性问题，只是将低效规模化了。如果误报消耗了固定比例的分析师时间，那么雇佣更多人意味着同样比例的时间被浪费，投资回报率从未改善，成本结构与问题规模线性增长。

另一些组织尝试调整检测阈值或增加更多规则，但这陷入了另一种困境：在仅专注于搜寻威胁的系统中，误报与漏报之间的紧张关系无法根本解决。提高检测攻击性以捕获复杂攻击，可能会隔离合法的业务通信；降低攻击性以减少误报，则新型攻击又会得逞。这是一种零和博弈。

问题的根源在于架构。基于模式匹配或传统机器学习的电子邮件安全存在相同局限：它们只能评估威胁信号，寻找可疑模式，但无法验证业务的合法性。当攻击者重复使用模板和策略时，这种方法尚能应对。然而，人工智能改变了游戏规则。攻击者现在可以生成无限独特的变体，针对组织上下文进行个性化定制，且无历史先例可循。每一轮攻击都是新颖的，这使得基于模式匹配和传统机器学习的方法在数学上失效。

这导致了严重的资源错配问题。组织中最宝贵的安全资源——那些本应进行威胁狩猎和构建检测能力、拥有丰富经验的分析师——却被困于调查误报的繁琐工作中。他们本应评估业务部门采用AI工具的安全影响、构建为决策提供信息的威胁情报计划、运行桌面演练为应对攻击做准备，并推动新通信平台和业务工具的安全采用。然而，他们的大量时间却用于验证合法的供应商发票是否为网络钓鱼。从人力资源成本角度看，这是对安全资源的重大错配。