影子AI安全漏洞将冲击40%企业，高德纳发布2030年预警

根据分析公司高德纳的预测，到2030年全球40%的企业组织可能因"影子AI"遭遇安全漏洞。影子AI指的是员工未经公司批准和监督使用人工智能工具的行为，正成为重要的网络安全威胁。

与传统"影子IT"（员工安装未授权软件或连接未批准设备）不同，影子AI通常只需要通过浏览器访问网站即可实现。许多员工会打开AI聊天机器人，粘贴文档或上传电子表格，要求AI进行总结。对员工而言这看似无害且省时，但如果数据包含客户信息、薪资详情、源代码或敏感公司计划，这些信息就已经被共享给了第三方系统。

利用影子AI的员工不能声称对相关安全和合规风险一无所知。安全公司UpGuard最近报告显示，令人震惊的是90%的安全负责人自己承认在工作中使用未经批准的AI工具，其中69%的首席信息安全官将其纳入日常 workflow。

高德纳研究指出，工作场所中已经存在大量未经授权的生成式AI使用，没有人怀疑AI使用未来会进一步升级。微软上月发布的研究也证实了这一趋势，71%的英国员工承认在工作中使用未经批准的AI工具，51%至少每周使用一次。

许多员工依赖AI帮助撰写邮件、准备演示文稿或处理财务和人力资源任务。在追求更快更有效工作的压力下，许多员工会选择最容易使用的工具，无论是否获得批准。

既然影子AI问题不可能很快消失，企业组织需要立即采取行动确保不遭受漏洞侵害。高德纳的Arun Chandrasekaran建议：“为应对这些风险，首席信息官应制定明确的全企业AI工具使用政策，定期审计影子AI活动，并将生成式AI风险评估纳入SaaS评估流程。”

企业不能简单地禁止AI使用并期待最好结果。这可能导致员工掩盖AI使用情况，向IT部门隐藏他们的行为。相反，更安全的方法是向员工提供经公司批准、注重隐私设计的AI工具。结合员工培训以及关于哪些信息绝不能与外部服务共享的明确指南，这能帮助员工认识到将内部文档粘贴到随机AI工具中与上传到社交媒体同样不安全。

如果企业现在不认真对待影子AI威胁，未来将面临数据泄露、合规丑闻和知识产权损失的风险。