影子人工智能的隐藏网络威胁及其应对方法

admin 2026-07-10 06:39:15 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 影子AI指员工未经批准使用AI工具,带来数据泄露、供应链漏洞和攻击放大等风险。90%的IT高管担忧此问题,20%的组织已遭受相关攻击。三星案例显示数据一旦泄露无法撤回。应对策略包括实施沙盒、部署DLP工具、加强培训,并将影子AI转化为竞争情报。禁止AI并非最佳策略,应通过治理框架引导创新。 综合评分: 86 文章分类: 网络安全,数据安全,安全意识,安全运营,安全建设


cover_image

影子人工智能的隐藏网络威胁及其应对方法

何威风 何威风

祺印说信安

2026年7月7日 00:00 河南

在小说阅读器读本章

去阅读

Shane O’Donnell是 Centric Consulting 的网络安全副总裁,在审计和网络风险管理方面拥有二十年的经验。

在现实世界中,危险潜伏在阴影中。在数字世界也是如此,影子人工智能可能是企业领导者最可怕的噩梦。

与其众所周知的“影子IT”类似,影子AI是指组织内部员工使用未经批准的工具(在本例中指AI工具)。但影子AI的风险可能要高得多,每位高管都应该关注它在组织中的运作方式。

好消息是,技术领导者开始意识到影子人工智能带来的风险。最近一项针对200名员工人数在1000人或以上的公司的IT总监和高管的调查显示,90%的人表示,从隐私和安全的角度来看,他们担心影子人工智能。

然而, IBM 的研究显示,五分之一的组织已经遭受与影子人工智能相关的网络攻击,仅仅担心已远远不够。影子人工智能使用程度较高的公司面临的数据泄露成本平均比未经授权使用人工智能程度较低的公司高出 67 万美元。

影子人工智能还可能导致罚款和合规问题,因为影子人工智能可能导致个人数据以不合规的方式共享。

隐形人工智能的风险远不止财务影响。由于安全团队无法识别未经授权的人工智能工具,追踪数据泄露的来源和范围几乎不可能。

现实世界的警钟

ChatGPT 推出后不久,三星电子就成为人工智能网络安全风险的一个典型例子。在三周的时间里,三名工程师无意中将敏感的公司数据泄露给了该平台:一名工程师粘贴了源代码,试图修复一个漏洞;另一名工程师输入了专有设备测试代码以寻求优化;第三名工程师将一份机密会议记录转换成文本,并将其输入引擎以获取会议纪要。

网络安全影响是直接且不可逆转的。与传统的数据泄露不同,企业可以控制损失,而三星的知识产权却被嵌入到OpenAI的系统中,无法检索或删除。该公司在全公司范围内禁止使用生成式人工智能工具,加入了亚马逊等其他公司以及一些大型金融公司的行列,限制员工访问这些平台。

但禁止人工智能或许并非解决这一问题的最佳策略。这样做可能会给企业带来诸多成本,例如员工无法再使用人工智能工具进行合法工作而导致的生产力损失、开发内部替代方案的成本,以及在没有人工智能的情况下运营而竞争对手仍在利用这些技术所带来的竞争劣势。

影子人工智能:网络安全风险乘数效应

影子IT可能会暴露特定的文档或数据,而影子AI则可以从数据中提取模式、关系和洞察,从而造成更广泛的安全漏洞。这种能力使其比传统影子IT更加危险。

攻击面非常巨大。根据Axios援引的网络安全公司Prompt Security的研究,公司系统通常运行着67种生成式人工智能工具,但90%的工具缺乏适当的许可或监管。与此同时,云安全联盟指出, 38%的员工承认与人工智能平台共享机密数据,65%的ChatGPT用户依赖其免费套餐,而免费套餐中的数据可用于训练竞争对手可以访问的模型。

常见的网络安全风险包括:

大规模数据泄露:与窃取静态数据的传统违规行为不同,影子人工智能可以捕捉实时工作流程、决策过程和战略思维模式。当员工将专有信息输入人工智能系统时,他们实际上是在提供组织运作的蓝图。

供应链漏洞:大多数影子人工智能攻击源于连接到人工智能平台的受感染应用程序、API 或插件。IBM 报告显示,97% 的组织缺乏适当的人工智能访问控制,这些入口点在很大程度上仍未得到保护。

人工智能驱动的攻击放大:当影子人工智能工具泄露组织数据时,不法分子可以利用这些信息针对特定公司制定更复杂的网络钓鱼活动、深度伪造攻击和社会工程计划。

高管实用框架

员工使用未经授权的人工智能工具并非为了造成伤害;他们使用它们是因为这些工具解决了已获批准的系统无法解决的问题。领导者有责任将影子人工智能从威胁转变为可控的战略优势。以下是一些值得考虑的策略:

实施沙盒。与其用限制性政策将人工智能的使用限制在地下,不如创建安全的环境,让团队可以安全地试验人工智能工具。建立使用合成数据的专用测试环境,明确哪些信息可以处理,并制定评估标准,以确定哪些工具值得企业采用。

部署技术保障措施。部署专门针对人工智能的数据丢失防护 (DLP) 工具,以检测并阻止敏感数据模式被发送到未经授权的人工智能平台。部署云访问安全代理解决方案,实时监控整个网络中人工智能应用的使用情况。至关重要的是,制定清晰的人工智能治理政策,将工具分为“批准”、“限制使用”和“禁止”类别,并为每个层级制定用例和数据处理要求。

通过教育促进变革。将你的工作方式从监管转变为合作。提供全面的数据隐私和道德AI培训,帮助员工了解AI工具的功能和风险。建立安全的报告机制,让员工可以披露AI的使用情况而不必担心受到惩罚。投资于经批准的企业AI解决方案,以实现员工所期望的效益。

将影子人工智能转化为竞争情报。当员工采用未经授权的工具时,他们实际上是在进行非正式的研发,以探索哪些工具适合您的业务流程。评估这些基层应用,以确定哪些功能能够带来价值,然后实施经过审查的企业版本。这将加速基于用户行为而非供应商承诺或理论用例的数字化转型。

影子人工智能不会消失,也不应该消失。成功的关键在于通过治理和战略框架引导创新。掌握这种平衡的公司不仅可以避免灾难性的数据泄露,还能加速数字化转型,提高生产力,并从基层人工智能应用中获得竞争情报。

聪明的领导者不会将影子人工智能视为需要消除的威胁,而是将其视为有待利用的创新。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:祺印说信安 何威风 何威风《影子人工智能的隐藏网络威胁及其应对方法》

评论:0   参与:  0