员工装个AI写作助手、在IDE里接个编程助手、用浏览器插件总结会议——这本是高效员工的正常操作。但问题是,这些工具大多没经过IT审批,却通过OAuth或浏览器会话连上了企业数据。

Adaptive Security的数据显示,80%的员工在工作中使用未经批准的生成AI应用,而只有12%的公司制定了正式的AI治理政策。安全团队的传统工具监控的是邮件和网络流量,但浏览器里的AI工具根本不走企业网络,完全绕过监控。

打开网易新闻 查看精彩图片

这个"影子AI"的缺口正在快速扩大。员工日均运行3-5个AI工具,很多能访问共享盘、邮件和内部文档,而安全团队对此毫无 visibility。

解决思路不是封杀,而是建立一条安全、可见、受认可的AI使用通道。以下是五个具体步骤。

第一步:摸清家底

安全团队先得知道组织里到底在跑什么AI工具,答案往往会让人意外。重点关注三个渠道:

OAuth连接。多数AI工具通过OAuth申请访问Google Workspace或Microsoft 365,获得企业数据的读写权限。按权限范围排序,季度审计第三方应用连接,通常能发现几十个从未审核过的工具。

浏览器插件。很多AI工具以浏览器扩展形式运行,不碰操作系统,传统终端管理工具完全检测不到。需要浏览器管理方案或轻量级终端代理来扫描识别。

已审批工具里捆绑的AI功能。Microsoft Copilot、Google Gemini、Salesforce Einstein这类功能,常在原厂商审核后引入,往往没有单独的安全评估。

另外,做个员工调查也很值。以"帮助更安全地工作"为框架的调查,通常能得到坦诚反馈,有些影子工具自动化发现根本扫不到。

这一步的目标是:当前准确的清单——每个AI工具、谁在用它、能访问什么数据。