根據(jù)Netskope最新研究，企業(yè)向生成式AI（GenAI）應(yīng)用共享的數(shù)據(jù)量呈現(xiàn)爆炸式增長(zhǎng)，一年內(nèi)激增30倍。目前平均每家企業(yè)每月向AI工具傳輸?shù)臄?shù)據(jù)量已達(dá)7.7GB，較一年前的250MB實(shí)現(xiàn)跨越式增長(zhǎng)。

這些數(shù)據(jù)包含源代碼、受監(jiān)管數(shù)據(jù)、密碼密鑰和知識(shí)產(chǎn)權(quán)等敏感信息，大幅增加了數(shù)據(jù)泄露、合規(guī)違規(guī)和知識(shí)產(chǎn)權(quán)盜竊的風(fēng)險(xiǎn)。75%的企業(yè)用戶正在使用具備生成式AI功能的應(yīng)用，這給安全團(tuán)隊(duì)帶來(lái)了新挑戰(zhàn)：無(wú)意識(shí)的內(nèi)鬼威脅。

生成式AI應(yīng)用帶來(lái)持續(xù)升級(jí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

數(shù)據(jù)顯示，90%的企業(yè)有員工直接使用ChatGPT、Google Gemini和GitHub Copilot等生成式AI應(yīng)用，98%的企業(yè)員工使用Gladly、Insider等集成AI功能的應(yīng)用程序。從數(shù)據(jù)安全視角看，最關(guān)鍵的風(fēng)險(xiǎn)指標(biāo)是傳輸至AI應(yīng)用的數(shù)據(jù)量——每次上傳都可能成為數(shù)據(jù)泄露的導(dǎo)火索。

Netskope首席信息安全官James Robinson指出："盡管企業(yè)努力推廣官方管理的AI工具，但我們的研究表明，影子IT已演變?yōu)橛白覣I——近四分之三用戶仍通過(guò)個(gè)人賬戶訪問(wèn)生成式AI應(yīng)用。這種趨勢(shì)與共享數(shù)據(jù)的敏感性相結(jié)合，凸顯了企業(yè)需要增強(qiáng)數(shù)據(jù)安全能力，以重新獲得對(duì)AI使用的治理權(quán)、可見(jiàn)性和使用規(guī)范。"

企業(yè)對(duì)AI數(shù)據(jù)缺乏有效管控

多數(shù)組織對(duì)間接使用生成式AI時(shí)的數(shù)據(jù)處理、存儲(chǔ)和利用方式缺乏完整可見(jiàn)性。常見(jiàn)做法是采取"先阻斷后審查"策略，僅允許特定應(yīng)用而屏蔽其他所有AI工具。但安全管理者需要制定安全啟用策略，平衡員工對(duì)效率提升的需求與風(fēng)險(xiǎn)管控。

典型案例是DeepSeek AI——Netskope發(fā)現(xiàn)該應(yīng)用在2025年1月上線后數(shù)周內(nèi)，就有91%的企業(yè)出現(xiàn)訪問(wèn)嘗試。當(dāng)時(shí)大多數(shù)企業(yè)尚未制定相關(guān)安全政策，使企業(yè)暴露于未知風(fēng)險(xiǎn)。更嚴(yán)重的是，員工可能在不知情的情況下向AI輸入商業(yè)機(jī)密，包括源代碼、知識(shí)產(chǎn)權(quán)、受監(jiān)管數(shù)據(jù)甚至密碼等敏感信息。

Netskope威脅實(shí)驗(yàn)室總監(jiān)Ray Canzanese強(qiáng)調(diào)："生成式AI已從邊緣技術(shù)發(fā)展為無(wú)處不在的基礎(chǔ)設(shè)施，從獨(dú)立應(yīng)用到后端集成日益普及。這種泛在化帶來(lái)持續(xù)升級(jí)的網(wǎng)絡(luò)安全挑戰(zhàn)，要求企業(yè)采取全面風(fēng)險(xiǎn)管理措施，否則敏感數(shù)據(jù)可能被第三方用于訓(xùn)練新AI模型，引發(fā)更廣泛的數(shù)據(jù)泄露風(fēng)險(xiǎn)。"

本地化部署催生新型安全威脅

過(guò)去一年，企業(yè)本地部署生成式AI基礎(chǔ)設(shè)施的比例從不足1%飆升至54%。雖然這降低了云端第三方應(yīng)用的數(shù)據(jù)暴露風(fēng)險(xiǎn)，但本地化部署帶來(lái)了供應(yīng)鏈風(fēng)險(xiǎn)、數(shù)據(jù)泄漏、輸出處理不當(dāng)?shù)刃滦屯{，以及提示詞注入、越獄攻擊和元提示提取等特有風(fēng)險(xiǎn)。因此許多企業(yè)在已有云端AI應(yīng)用基礎(chǔ)上，疊加部署了本地化AI基礎(chǔ)設(shè)施。

影子AI現(xiàn)象持續(xù)蔓延

雖然多數(shù)企業(yè)已使用生成式AI，但主動(dòng)使用獨(dú)立AI應(yīng)用的用戶比例雖小卻持續(xù)增長(zhǎng)。過(guò)去一年企業(yè)內(nèi)使用AI應(yīng)用的人數(shù)幾乎翻倍，平均每家企業(yè)4.9%的員工使用生成式AI應(yīng)用。

企業(yè)AI應(yīng)用采用模式延續(xù)了云服務(wù)的典型路徑：?jiǎn)T工通過(guò)個(gè)人賬戶使用應(yīng)用。這導(dǎo)致企業(yè)內(nèi)大部分AI使用可歸類(lèi)為影子IT（指未經(jīng)IT部門(mén)批準(zhǔn)使用的解決方案）。專(zhuān)為AI解決方案創(chuàng)造的"影子AI"新術(shù)語(yǔ)，更強(qiáng)調(diào)這些應(yīng)用的隱蔽性和非正式性。即使在ChatGPT引發(fā)AI熱潮兩年后的今天，72%的用戶仍通過(guò)個(gè)人賬戶在工作場(chǎng)所使用ChatGPT、Google Gemini等主流AI應(yīng)用。

Netskope安全與情報(bào)運(yùn)營(yíng)副總裁Ari Giguere表示："AI不僅重塑邊界安全和平臺(tái)安全，更在重寫(xiě)安全規(guī)則。"

目前99%的企業(yè)正在實(shí)施風(fēng)險(xiǎn)管控政策，包括全面禁用AI應(yīng)用、限制特定用戶群體使用，以及控制輸入AI的數(shù)據(jù)類(lèi)型等措施。這些政策的具體實(shí)施方式將在后續(xù)詳細(xì)解析。