商傳媒|林昭衡/綜合外電報導

一份最新調查顯示,雖然逾半數知識型員工坦承曾使用未經公司批准的人工智慧(AI)工具,且有超過半數企業在過去一年經歷與AI相關的資安事件,但高達九成的企業主管仍對公司掌握AI工具使用情況充滿自信,揭露企業在AI時代潛藏的重大管理與資安風險。

根據《The Register》週三報導,由美國身份驗證 SaaS 公司 Okta 委託進行的調查發現,過去十二個月內,有高達 58% 的企業主管回報其組織遭遇AI相關的資安問題,其中 26.7% 是實際的資料外洩或系統中斷等事件,另有 31.2% 則是險些釀禍的資安警報。然而,同一調查也指出,有 90% 的企業主管對公司「看見」員工使用AI工具的能力深具信心。

相較之下,調查結果揭示員工行為與主管認知之間的巨大落差。高達 52% 的知識型員工坦承曾使用未經公司核准的AI工具,其中 24% 更表示經常使用。這些「影子AI」的使用行為帶來顯著的資安風險,包括分享機密公司文件、提供人力資源資訊,甚至有 16% 的員工透露曾將登入憑證提供給這些未經核准的AI工具。 Okta 的 AI 資安副總裁兼總經理 Harish Peri 警示:「網路資安界有句老話:你看不見的就無法保護。」他強調,若資安與法規遵循團隊無法掌握AI工具的使用情況,就無法有效管理其風險。

調查進一步顯示,近三分之二的知識型員工每天至少使用一次AI工具。其中,68% 的人使用自主型 AI 代理(AI agents),而 62% 的人則經常使用大型語言模型(LLMs)及 AI 聊天機器人。美國員工使用未經核准 AI 工具的比例最高,達到 67%,其次是澳洲(60%)、英國(55%)和加拿大(約 50%)。相較之下,法國和德國的比例最低,均約為 30%。值得注意的是,英國的這種主管自信與員工現實之間的落差最為嚴重,儘管 96% 的英國主管對 AI 工具的掌握度充滿信心,但仍有逾半數的員工使用未經核准的工具。

Harish Peri 指出,大多數情況下,影子AI的出現並非惡意,而是無意間發生。他表示,由於企業缺乏對未經管理工具的能見度、治理和資安控制,影子AI主要為企業領導者帶來困擾。他強調,組織必須實施有效的AI治理框架,優先考量以身份為中心的控制措施、自動化偵測,並建立安全的沙盒環境以安全測試 AI 工具,以應對這些「無論有意無意」都將擴大企業攻擊面的風險。