根據(jù)Netskope最新研究，企業(yè)向生成式AI（GenAI）應用共享的數(shù)據(jù)量呈現(xiàn)爆炸式增長，一年內(nèi)激增30倍。目前平均每家企業(yè)每月向AI工具傳輸?shù)臄?shù)據(jù)量已達7.7GB，較一年前的250MB實現(xiàn)跨越式增長。

這些數(shù)據(jù)包含源代碼、受監(jiān)管數(shù)據(jù)、密碼密鑰和知識產(chǎn)權(quán)等敏感信息，大幅增加了數(shù)據(jù)泄露、合規(guī)違規(guī)和知識產(chǎn)權(quán)盜竊的風險。75%的企業(yè)用戶正在使用具備生成式AI功能的應用，這給安全團隊帶來了新挑戰(zhàn)：無意識的內(nèi)鬼威脅。

生成式AI應用帶來持續(xù)升級的網(wǎng)絡安全風險

數(shù)據(jù)顯示，90%的企業(yè)有員工直接使用ChatGPT、Google Gemini和GitHub Copilot等生成式AI應用，98%的企業(yè)員工使用Gladly、Insider等集成AI功能的應用程序。從數(shù)據(jù)安全視角看，最關(guān)鍵的風險指標是傳輸至AI應用的數(shù)據(jù)量——每次上傳都可能成為數(shù)據(jù)泄露的導火索。

Netskope首席信息安全官James Robinson指出："盡管企業(yè)努力推廣官方管理的AI工具，但我們的研究表明，影子IT已演變?yōu)橛白覣I——近四分之三用戶仍通過個人賬戶訪問生成式AI應用。這種趨勢與共享數(shù)據(jù)的敏感性相結(jié)合，凸顯了企業(yè)需要增強數(shù)據(jù)安全能力，以重新獲得對AI使用的治理權(quán)、可見性和使用規(guī)范。"

企業(yè)對AI數(shù)據(jù)缺乏有效管控

多數(shù)組織對間接使用生成式AI時的數(shù)據(jù)處理、存儲和利用方式缺乏完整可見性。常見做法是采取"先阻斷后審查"策略，僅允許特定應用而屏蔽其他所有AI工具。但安全管理者需要制定安全啟用策略，平衡員工對效率提升的需求與風險管控。

典型案例是DeepSeek AI——Netskope發(fā)現(xiàn)該應用在2025年1月上線后數(shù)周內(nèi)，就有91%的企業(yè)出現(xiàn)訪問嘗試。當時大多數(shù)企業(yè)尚未制定相關(guān)安全政策，使企業(yè)暴露于未知風險。更嚴重的是，員工可能在不知情的情況下向AI輸入商業(yè)機密，包括源代碼、知識產(chǎn)權(quán)、受監(jiān)管數(shù)據(jù)甚至密碼等敏感信息。

Netskope威脅實驗室總監(jiān)Ray Canzanese強調(diào)："生成式AI已從邊緣技術(shù)發(fā)展為無處不在的基礎(chǔ)設施，從獨立應用到后端集成日益普及。這種泛在化帶來持續(xù)升級的網(wǎng)絡安全挑戰(zhàn)，要求企業(yè)采取全面風險管理措施，否則敏感數(shù)據(jù)可能被第三方用于訓練新AI模型，引發(fā)更廣泛的數(shù)據(jù)泄露風險。"

本地化部署催生新型安全威脅

過去一年，企業(yè)本地部署生成式AI基礎(chǔ)設施的比例從不足1%飆升至54%。雖然這降低了云端第三方應用的數(shù)據(jù)暴露風險，但本地化部署帶來了供應鏈風險、數(shù)據(jù)泄漏、輸出處理不當?shù)刃滦屯{，以及提示詞注入、越獄攻擊和元提示提取等特有風險。因此許多企業(yè)在已有云端AI應用基礎(chǔ)上，疊加部署了本地化AI基礎(chǔ)設施。

影子AI現(xiàn)象持續(xù)蔓延

雖然多數(shù)企業(yè)已使用生成式AI，但主動使用獨立AI應用的用戶比例雖小卻持續(xù)增長。過去一年企業(yè)內(nèi)使用AI應用的人數(shù)幾乎翻倍，平均每家企業(yè)4.9%的員工使用生成式AI應用。

企業(yè)AI應用采用模式延續(xù)了云服務的典型路徑：員工通過個人賬戶使用應用。這導致企業(yè)內(nèi)大部分AI使用可歸類為影子IT（指未經(jīng)IT部門批準使用的解決方案）。專為AI解決方案創(chuàng)造的"影子AI"新術(shù)語，更強調(diào)這些應用的隱蔽性和非正式性。即使在ChatGPT引發(fā)AI熱潮兩年后的今天，72%的用戶仍通過個人賬戶在工作場所使用ChatGPT、Google Gemini等主流AI應用。

Netskope安全與情報運營副總裁Ari Giguere表示："AI不僅重塑邊界安全和平臺安全，更在重寫安全規(guī)則。"

目前99%的企業(yè)正在實施風險管控政策，包括全面禁用AI應用、限制特定用戶群體使用，以及控制輸入AI的數(shù)據(jù)類型等措施。這些政策的具體實施方式將在后續(xù)詳細解析。