北京
員工裝個AI寫作助手、在IDE里接個編程助手、用瀏覽器插件總結會議——這本是高效員工的正常操作。但問題是,這些工具大多沒經過IT審批,卻通過OAuth或瀏覽器會話連上了企業數據。
Adaptive Security的數據顯示,80%的員工在工作中使用未經批準的生成AI應用,而只有12%的公司制定了正式的AI治理政策。安全團隊的傳統工具監控的是郵件和網絡流量,但瀏覽器里的AI工具根本不走企業網絡,完全繞過監控。
這個"影子AI"的缺口正在快速擴大。員工日均運行3-5個AI工具,很多能訪問共享盤、郵件和內部文檔,而安全團隊對此毫無 visibility。
解決思路不是封殺,而是建立一條安全、可見、受認可的AI使用通道。以下是五個具體步驟。
第一步:摸清家底
安全團隊先得知道組織里到底在跑什么AI工具,答案往往會讓人意外。重點關注三個渠道:
OAuth連接。多數AI工具通過OAuth申請訪問Google Workspace或Microsoft 365,獲得企業數據的讀寫權限。按權限范圍排序,季度審計第三方應用連接,通常能發現幾十個從未審核過的工具。
瀏覽器插件。很多AI工具以瀏覽器擴展形式運行,不碰操作系統,傳統終端管理工具完全檢測不到。需要瀏覽器管理方案或輕量級終端代理來掃描識別。
已審批工具里捆綁的AI功能。Microsoft Copilot、Google Gemini、Salesforce Einstein這類功能,常在原廠商審核后引入,往往沒有單獨的安全評估。
另外,做個員工調查也很值。以"幫助更安全地工作"為框架的調查,通常能得到坦誠反饋,有些影子工具自動化發現根本掃不到。
這一步的目標是:當前準確的清單——每個AI工具、誰在用它、能訪問什么數據。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
