2023年7月，迪斯尼前員工馬修·范·安代爾收到一條令他毛骨悚然的Discord私信："我掌握了你私人生活和工作的敏感信息。"對方不僅復(fù)述了他幾天前在Slack工作群中與同事的午餐對話，還陸續(xù)拋出了他的信用卡號、社保賬號，甚至家中智能攝像頭Ring的登錄憑證。

安代爾意識到自己被黑客入侵，立即聯(lián)系了Disney的網(wǎng)絡(luò)安全團隊。次日，黑客團體Nullbulge在網(wǎng)上發(fā)布了超過4400萬條Disney內(nèi)部消息，包括客戶隱私信息、員工護(hù)照號碼和主題公園及流媒體收入數(shù)據(jù)。

一場“影子AI”引發(fā)的重大數(shù)據(jù)泄漏事故

時隔兩年后，迪斯尼披露了這場重大數(shù)據(jù)泄露事件的調(diào)查結(jié)果，黑客的突破口居然是員工個人設(shè)備上安裝的“AI工具”。

2023年2月，安代爾在家用電腦通過代碼托管平臺GitHub下載了一款"免費AI圖像生成工具"。這款表面正常的軟件實則為惡意程序，黑客借此植入鍵盤記錄木馬，劫持了他存儲所有密碼的1Password管理器。

更致命的是，范·安代爾的1Password賬戶未啟用雙因素認(rèn)證，黑客獲取主密碼后提取了密碼管理器中數(shù)百個賬號口令。通過竊取的Slack會話cookie，黑客直接登錄其迪斯尼內(nèi)部賬戶，潛伏五個月后突然發(fā)難。私人郵箱、兒童Roblox游戲賬號、社交媒體悉數(shù)淪陷，甚至迪斯尼的財務(wù)數(shù)據(jù)、員工護(hù)照信息等核心資產(chǎn)也遭泄露。

"影子AI"：企業(yè)安全的新毒瘤

迪斯尼的遭遇這并非孤例。谷歌Mandiant調(diào)查顯示，2023年以牟利為目的的網(wǎng)絡(luò)入侵中，近40%使用竊取憑證，較2022年翻倍。而"影子AI"（員工未經(jīng)審批使用外部AI工具）正成為黑客的新跳板。

影子AI的主要風(fēng)險

根據(jù)2024年Work Trend Index Annual Report，78%的AI用戶在工作中使用自帶工具，52%不愿承認(rèn)使用，顯示出員工對影子AI的隱秘依賴。另一項研究表明，74%的ChatGPT（一種與DeepSeek性能接近的生成式AI應(yīng)用）使用非公司賬戶，74%的Gemini和Bard使用也是如此，影子AI已經(jīng)在企業(yè)中無處不在。

員工使用個人AI工具的動機多種多樣：員工可能因現(xiàn)有工具效率低下而轉(zhuǎn)向更便捷的AI解決方案，或希望提升個人和團隊生產(chǎn)力。然而，風(fēng)險不容忽視。IBM的研究顯示，超過三分之一（38%）的員工承認(rèn)在未經(jīng)雇主許可的情況下與AI工具共享敏感工作信息，這可能導(dǎo)致數(shù)據(jù)泄露、合規(guī)違規(guī)和聲譽損害。此外，影子AI工具在外部服務(wù)器上存儲數(shù)據(jù)，增加被黑客攻擊的風(fēng)險，尤其是在使用開源AI模型時。

2025年CX Trends Report顯示，某些行業(yè)影子AI使用率同比增長250%，如金融和醫(yī)療行業(yè)，凸顯了監(jiān)管的緊迫性。

管理影子AI：平衡創(chuàng)新與安全

面對影子AI的挑戰(zhàn)，企業(yè)需要采取綜合策略，減少風(fēng)險同時保留AI帶來的創(chuàng)新潛力。首先，制定清晰的AI使用政策是關(guān)鍵，明確哪些工具可以被批準(zhǔn)使用，并教育員工關(guān)于影子AI的潛在危險。其次，提供經(jīng)安全驗證的AI工具，如企業(yè)級（私有化部署）AI替代方案，滿足員工需求，同時確保數(shù)據(jù)保護(hù)。

技術(shù)解決方案也至關(guān)重要。部署監(jiān)控和報告系統(tǒng)以檢測未經(jīng)授權(quán)的AI使用，如維護(hù)AI工具黑名單和白名單，可以有效防止影子AI的擴散。此外，定期審計和跨部門合作可以幫助組織在治理和創(chuàng)新之間找到平衡點。

最后，創(chuàng)造一個開放的溝通環(huán)境，鼓勵員工報告他們希望使用的AI工具，并通過集中平臺評估和批準(zhǔn)新工具，可以減少影子AI的發(fā)生。例如，Dell的研究顯示，91%的受訪員工曾嘗試生成式AI，71%在工作中使用，顯示出員工對AI的強烈需求。通過教育和支持，企業(yè)可以引導(dǎo)這種需求走向安全軌道。