71%GenAI工具登錄使用個(gè)人賬戶，而在使用企業(yè)賬戶的登錄行為中，58%未采用單點(diǎn)登錄(SSO)。這些操作完全繞過(guò)了組織的身份與訪問(wèn)管理(IAM)系統(tǒng)，導(dǎo)致安全團(tuán)隊(duì)無(wú)法掌握GenAI的具體使用場(chǎng)景及潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)。

普通用戶對(duì)數(shù)據(jù)暴露風(fēng)險(xiǎn)認(rèn)知不足

絕大多數(shù)GenAI使用者為低頻用戶，可能并未意識(shí)到數(shù)據(jù)暴露風(fēng)險(xiǎn)。僅15%企業(yè)員工每周使用GenAI，深度用戶占比極低，低頻用戶構(gòu)成主體。

開(kāi)發(fā)人員是活躍用戶主力軍。企業(yè)用戶中，研發(fā)部門(mén)占GenAI使用者的39%，銷(xiāo)售與市場(chǎng)占28%，IT、人力資源及財(cái)務(wù)部門(mén)用戶占比均不足10%。

研究發(fā)現(xiàn)，20.63%用戶安裝了AI瀏覽器插件，其中45%用戶安裝超過(guò)一個(gè)同類(lèi)插件。GenAI插件中，58%的權(quán)限級(jí)別被歸類(lèi)為"高危"或"關(guān)鍵"，略低于所有插件66.6%的高危比例。值得注意的是，5.6%的AI插件被標(biāo)記為"惡意軟件"，可實(shí)施數(shù)據(jù)竊取。

頭部應(yīng)用壟斷九成流量，長(zhǎng)尾暗藏隱患

90%的AI使用集中于知名應(yīng)用，但存在大量隱蔽的"影子AI"工具。ChatGPT獨(dú)占50%企業(yè)使用量，前五大AI SaaS應(yīng)用覆蓋85%流量。然而在主流應(yīng)用之外，眾多低頻AI工具游離于監(jiān)管之外，安全團(tuán)隊(duì)既無(wú)法掌握應(yīng)用清單，也難以實(shí)施有效管控。

少數(shù)用戶成數(shù)據(jù)泄露高危群體

雖然文本輸入是主流交互方式，但復(fù)制/粘貼和文件上傳才是大規(guī)模數(shù)據(jù)泄露的主渠道。約18%用戶向GenAI工具粘貼數(shù)據(jù)，其中半數(shù)涉及企業(yè)信息。

"當(dāng)企業(yè)擁抱GenAI時(shí)，安全團(tuán)隊(duì)正面臨日益嚴(yán)峻的隱形威脅挑戰(zhàn)。"LayerX CEO Or Eshed警示道。

報(bào)告強(qiáng)調(diào)企業(yè)需建立主動(dòng)式風(fēng)險(xiǎn)管理體系：CISO應(yīng)構(gòu)建全面的AI風(fēng)險(xiǎn)緩解框架，通過(guò)終端級(jí)AI審計(jì)掌握員工使用情況，強(qiáng)制禁用個(gè)人賬戶并推行SSO認(rèn)證，在確保生產(chǎn)效率的同時(shí)構(gòu)建安全防線。

"在AI驅(qū)動(dòng)時(shí)代，全面禁止并非長(zhǎng)久之計(jì)。實(shí)施自適應(yīng)、場(chǎng)景化的安全策略，方能在保障生產(chǎn)力與數(shù)據(jù)安全間取得平衡。"Eshed總結(jié)道。