- Sophos《2025年亚太及日本网络安全未来报告》显示,91%的马来西亚企业已在运营中采用AI工具,但36%承认员工正在未经授权使用AI——这种现象被称为“影子人工智能”(Shadow AI)。
- 影子人工智能是指员工使用了未经IT或安全部门批准或监督的AI工具。41%的企业甚至不清楚正在使用哪些工具,35%的企业在这些AI平台上发现了安全漏洞。
- 后果:敏感数据(客户、知识产权、内部财务)可能会被上传到公共AI模型中,从而造成信息暴露或外部泄漏的风险,而用户对此却毫无察觉。
- 在金融、电信和国有企业等受到严格监管的行业,AI在失控状态下运行不仅是安全风险,还违反了《个人数据保护法》(PDPA)——可能导致严厉处罚。
- 原因并非恶意:员工使用AI是为了提高生产力——更快地撰写报告、分析数据或创建内容。但仅仅一个未经审查的应用程序或错误的配置,就可能为网络攻击打开大门。
- 专家Aaron Bugal建议:企业必须按照零信任模型(默认不信任)来增强AI的可观察性和监控能力,将安全扩展到所有层面——数据、身份、设备和用户行为。
- 除了书面政策外,还需要为员工进行实际的AI意识培训,帮助他们理解将数据输入到外部模型的风险。
- 领导层应以指导而非禁止为主:提供经过批准、安全且受监控的AI工具,以便员工无需“偷偷摸摸地”在系统外部使用AI。
📌 影子人工智能是指员工使用了未经IT或安全部门批准或监督的AI工具。91%的马来西亚企业使用了AI,但超过三分之一存在“影子人工智能”——这个“黑暗区域”可能导致内部数据泄漏。领导层应以指导而非禁止为主:提供经过批准、安全且受监控的AI工具,以便员工无需“偷偷摸摸地”在系统外部使用AI。
