这种未经批准的AI工具使用日益增多，通常被称为“影子AI”，正成为负责保卫组织安全的团队内部的一个主要盲点。与影子IT类似，这种非官方使用绕过了标准的安全检查，但AI带来的风险更高。这些工具可以处理敏感代码、内部文档和客户数据，从而增加了信息泄露、隐私问题和合规违规的风险。

调查显示，86%的网络安全专业人士表示他们使用AI工具，其中近四分之一的人是通过个人账户或未经批准的浏览器扩展来使用的。76%的人认为他们的网络安全同事也在使用AI，通常是为了帮助编写检测规则、创建培训内容或审查代码。

输入这些工具的数据类型进一步增加了风险，约30%的受访者表示，内部文档和电子邮件被输入到了AI系统中。大约相同数量的人承认，客户数据或其他机密商业信息也被使用。五分之一的人表示，他们自己输入了敏感信息，而12%的人甚至不确定输入的是什么类型的数据。

“现实情况是：任何将敏感知识产权上传到第三方SaaS平台的行为，无论是代码仓库、文件共享工具还是AI助手，都会引入风险，但恐慌不是解决办法，治理才是。政策、AI数据处理教育以及一致的SaaS控制可以使GenAI像我们已经信任的其他企业云服务一样安全。”OWASP GenAI安全项目联合主席Steve Wilson在接受采访时表示。

“如果我们正在重新思考安全边界——确实需要这么做——那么影子AI并不是我们最大的问题。今天真正的边界危机集中在身份问题上。被泄露的凭证、内部威胁以及利用深度伪造语音钓鱼和AI加速攻击的AI攻击者，才是我们必须关注的地方。”Wilson补充道。

监督并未跟上步伐，只有32%的企业在积极监控AI的使用情况，另有24%的企业依赖非正式的检查，如调查或经理审查，这些方式往往无法发现真正的情况，14%的企业表示根本没有进行任何监控，这意味着一些公司在AI风险方面处于盲目状态。

调查还显示，许多企业不清楚谁负责AI风险，39%的受访者表示没有正式负责人，另有38%的人表示责任落在安全团队身上，而较小比例的人则指向了数据科学、高管领导层或法律和合规部门，这种回答的多样性凸显了团队间更好协调以及明确责任规划的必要性。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。