最新云威胁报告显示,员工使用个人账户访问 ChatGPT、Google Gemini、Copilot 等 LLM 工具已成为企业数据泄露的主渠道之一,genAI 相关的数据策略违规平均每月高达 223 起,较去年翻倍增长。 报告指出,部分组织中发往生成式 AI 应用的提示数量在一年内增长六倍,头部 1% 企业每月提交提示超过 140 万条,其中包含源代码、合同文本、客户资料甚至凭据等高敏数据,一旦被用于模型训练或遭二次窃取,将给合规与知识产权带来长期不可逆风险。 这类 Shadow AI 的共性在于“看不见、管不住”:安全团队往往只盯住官方接入的大模型,而忽视浏览器、个人账号和移动端的灰色通道,未来还将叠加基于会话上下文的个性化广告与第三方插件生态,进一步模糊数据边界。 企业应尽快建立 genAI 使用策略与分类分级规范,借助 CASB/SASE 对 AI 流量进行识别与阻断,对高敏部门默认禁止个人 LLM 访问,并引入企业版受控 LLM 作为替代,配套审计与数据最小化策略。
