生成式人工智能(GenAI)正以超出预期的速度渗透进企业日常工作场景。根据相关调研数据,过去一年已有40%的企业将GenAI工具纳入日常工作流,超过80%的用户每周都会使用这类工具。当GenAI成为员工提升效率的标配时,企业的数据安全却正面临着一场看不见的挑战——阴影数据的快速扩张正在蚕食传统安全防线。
不同于传统影子IT仅局限于静态文件、已授权应用和已知数据出口,GenAI催生的阴影数据边界更加模糊。它不仅存在于未被企业认可的工具中,还隐藏在员工日常依赖的邮件平台、云存储、CRM等合规应用里。这些被视为“安全”的工具,因集成了AI功能而成为新的数据风险点,彻底拓宽了企业的威胁范围。
GenAI的交互特性进一步加剧了数据风险。为了获得更精准的结果,用户会在对话式交互中自然地分享各类上下文信息,包括源代码片段、客户记录、内部文档等敏感数据。这些通过复制粘贴、文件上传等常规操作流出的数据,大多缺乏对应敏感度级别的共享管控,在企业数据架构中形成了一条隐秘且持续的数据流。
更棘手的是,GenAI的采用呈现出高度分散的特征。不同岗位的员工会根据自身需求选择不同的AI工具,追求工作流程的优化和自动化,这使得数据路径变得愈发碎片化。当这种行为在整个企业员工群体中蔓延时,阴影数据的覆盖范围会呈指数级扩大,让企业安全团队难以追踪。
面对GenAI带来的数据风险,不少企业第一反应是全面封禁或严格限制这类工具的使用。但这种“一刀切”的做法往往收效甚微。GenAI已经成为员工提升效率的重要助手,一旦被企业限制,员工很可能转向个人账号或未受管理的工具继续使用,这反而让企业彻底失去了对数据流向的监控。调研显示,已有44%的员工存在违反企业规定使用AI工具的行为,75%使用未授权AI工具的员工承认曾向这些工具分享敏感信息。这种“上有政策下有对策”的行为,会让企业面临平均每年1950万美元的内部风险损失,同时制造出更多安全团队无法察觉的威胁渠道。
事实上,阴影数据的产生并非完全源于员工的违规操作,更多是GenAI的易用性、对上下文的需求以及其普及性带来的结构性结果。企业若想有效管控风险,不能一味压制GenAI的应用,而是要通过构建可见性与防护体系,实现安全与创新的平衡。
首先,企业需要建立端到端的可见性。这意味着要全面掌握员工正在使用的所有GenAI应用,包括嵌入在合规工具中的AI功能,同时明确哪些类型的数据(如财务信息、知识产权、个人身份信息等)正在被分享,以及这些数据在本地、SaaS和云网络中的流向。只有掌握这些真实信息,安全和合规团队才能摆脱基于假设的管理,真正针对员工行为制定有效策略。
其次,要应用上下文感知的数据保护策略。传统的“允许或禁止”政策过于僵化,无法适配GenAI的对话式交互场景。企业需要构建能够实时评估用户、数据和目标对象的动态策略,针对不同情况采取合理措施:比如阻止高风险的数据上传,在敏感信息流出前进行脱敏处理,或者引导员工使用更安全的替代方案。这些自动化的防护措施既能保障数据安全,又不会过度干扰员工的正常工作。
最后,确保政策的一致性执行。企业无需强制替换员工已经习惯使用的工具,而是要建立一套统一的数据保护政策,跟随数据和用户覆盖云存储、协作平台、SaaS应用和GenAI助手等所有工作场景。这种一致性既能减少安全管理的碎片化,降低风险,又能让员工在可预测的规则下工作,避免因突然的禁令而产生抵触情绪。
GenAI已经深度融入企业工作流,既不能被忽视,也无法被彻底清除。企业需要找到一条既能推动AI创新,又能防止敏感数据在生态系统中无序流动的路径。成功的关键不在于压制GenAI的应用,而在于通过持续、上下文感知且一致的数据保护措施,实现安全且可持续的GenAI adoption。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/genai-pu-ji-xia-de-qi-ye-yin-ying-shu-ju-wei-ji-du-bu-ru
