2023年7月，迪斯尼前員工馬修·范·安代爾收到一條令他毛骨悚然的Discord私信："我掌握了你私人生活和工作的敏感信息。"對(duì)方不僅復(fù)述了他幾天前在Slack工作群中與同事的午餐對(duì)話，還陸續(xù)拋出了他的信用卡號(hào)、社保賬號(hào)，甚至家中智能攝像頭Ring的登錄憑證。

安代爾意識(shí)到自己被黑客入侵，立即聯(lián)系了Disney的網(wǎng)絡(luò)安全團(tuán)隊(duì)。次日，黑客團(tuán)體Nullbulge在網(wǎng)上發(fā)布了超過4400萬條Disney內(nèi)部消息，包括客戶隱私信息、員工護(hù)照號(hào)碼和主題公園及流媒體收入數(shù)據(jù)。

一場(chǎng)“影子AI”引發(fā)的重大數(shù)據(jù)泄漏事故

時(shí)隔兩年后，迪斯尼披露了這場(chǎng)重大數(shù)據(jù)泄露事件的調(diào)查結(jié)果，黑客的突破口居然是員工個(gè)人設(shè)備上安裝的“AI工具”。

2023年2月，安代爾在家用電腦通過代碼托管平臺(tái)GitHub下載了一款"免費(fèi)AI圖像生成工具"。這款表面正常的軟件實(shí)則為惡意程序，黑客借此植入鍵盤記錄木馬，劫持了他存儲(chǔ)所有密碼的1Password管理器。

更致命的是，范·安代爾的1Password賬戶未啟用雙因素認(rèn)證，黑客獲取主密碼后提取了密碼管理器中數(shù)百個(gè)賬號(hào)口令。通過竊取的Slack會(huì)話cookie，黑客直接登錄其迪斯尼內(nèi)部賬戶，潛伏五個(gè)月后突然發(fā)難。私人郵箱、兒童Roblox游戲賬號(hào)、社交媒體悉數(shù)淪陷，甚至迪斯尼的財(cái)務(wù)數(shù)據(jù)、員工護(hù)照信息等核心資產(chǎn)也遭泄露。

"影子AI"：企業(yè)安全的新毒瘤

迪斯尼的遭遇這并非孤例。谷歌Mandiant調(diào)查顯示，2023年以牟利為目的的網(wǎng)絡(luò)入侵中，近40%使用竊取憑證，較2022年翻倍。而"影子AI"（員工未經(jīng)審批使用外部AI工具）正成為黑客的新跳板。

影子AI的主要風(fēng)險(xiǎn)

根據(jù)2024年Work Trend Index Annual Report，78%的AI用戶在工作中使用自帶工具，52%不愿承認(rèn)使用，顯示出員工對(duì)影子AI的隱秘依賴。另一項(xiàng)研究表明，74%的ChatGPT（一種與DeepSeek性能接近的生成式AI應(yīng)用）使用非公司賬戶，74%的Gemini和Bard使用也是如此，影子AI已經(jīng)在企業(yè)中無處不在。

員工使用個(gè)人AI工具的動(dòng)機(jī)多種多樣：?jiǎn)T工可能因現(xiàn)有工具效率低下而轉(zhuǎn)向更便捷的AI解決方案，或希望提升個(gè)人和團(tuán)隊(duì)生產(chǎn)力。然而，風(fēng)險(xiǎn)不容忽視。IBM的研究顯示，超過三分之一（38%）的員工承認(rèn)在未經(jīng)雇主許可的情況下與AI工具共享敏感工作信息，這可能導(dǎo)致數(shù)據(jù)泄露、合規(guī)違規(guī)和聲譽(yù)損害。此外，影子AI工具在外部服務(wù)器上存儲(chǔ)數(shù)據(jù)，增加被黑客攻擊的風(fēng)險(xiǎn)，尤其是在使用開源AI模型時(shí)。

2025年CX Trends Report顯示，某些行業(yè)影子AI使用率同比增長(zhǎng)250%，如金融和醫(yī)療行業(yè)，凸顯了監(jiān)管的緊迫性。

管理影子AI：平衡創(chuàng)新與安全

面對(duì)影子AI的挑戰(zhàn)，企業(yè)需要采取綜合策略，減少風(fēng)險(xiǎn)同時(shí)保留AI帶來的創(chuàng)新潛力。首先，制定清晰的AI使用政策是關(guān)鍵，明確哪些工具可以被批準(zhǔn)使用，并教育員工關(guān)于影子AI的潛在危險(xiǎn)。其次，提供經(jīng)安全驗(yàn)證的AI工具，如企業(yè)級(jí)（私有化部署）AI替代方案，滿足員工需求，同時(shí)確保數(shù)據(jù)保護(hù)。

技術(shù)解決方案也至關(guān)重要。部署監(jiān)控和報(bào)告系統(tǒng)以檢測(cè)未經(jīng)授權(quán)的AI使用，如維護(hù)AI工具黑名單和白名單，可以有效防止影子AI的擴(kuò)散。此外，定期審計(jì)和跨部門合作可以幫助組織在治理和創(chuàng)新之間找到平衡點(diǎn)。

最后，創(chuàng)造一個(gè)開放的溝通環(huán)境，鼓勵(lì)員工報(bào)告他們希望使用的AI工具，并通過集中平臺(tái)評(píng)估和批準(zhǔn)新工具，可以減少影子AI的發(fā)生。例如，Dell的研究顯示，91%的受訪員工曾嘗試生成式AI，71%在工作中使用，顯示出員工對(duì)AI的強(qiáng)烈需求。通過教育和支持，企業(yè)可以引導(dǎo)這種需求走向安全軌道。