71%GenAI工具登錄使用個人賬戶,而在使用企業賬戶的登錄行為中,58%未采用單點登錄(SSO)。這些操作完全繞過了組織的身份與訪問管理(IAM)系統,導致安全團隊無法掌握GenAI的具體使用場景及潛在數據泄露風險。
普通用戶對數據暴露風險認知不足
絕大多數GenAI使用者為低頻用戶,可能并未意識到數據暴露風險。僅15%企業員工每周使用GenAI,深度用戶占比極低,低頻用戶構成主體。
開發人員是活躍用戶主力軍。企業用戶中,研發部門占GenAI使用者的39%,銷售與市場占28%,IT、人力資源及財務部門用戶占比均不足10%。
研究發現,20.63%用戶安裝了AI瀏覽器插件,其中45%用戶安裝超過一個同類插件。GenAI插件中,58%的權限級別被歸類為"高危"或"關鍵",略低于所有插件66.6%的高危比例。值得注意的是,5.6%的AI插件被標記為"惡意軟件",可實施數據竊取。
頭部應用壟斷九成流量,長尾暗藏隱患
90%的AI使用集中于知名應用,但存在大量隱蔽的"影子AI"工具。ChatGPT獨占50%企業使用量,前五大AI SaaS應用覆蓋85%流量。然而在主流應用之外,眾多低頻AI工具游離于監管之外,安全團隊既無法掌握應用清單,也難以實施有效管控。
少數用戶成數據泄露高危群體
雖然文本輸入是主流交互方式,但復制/粘貼和文件上傳才是大規模數據泄露的主渠道。約18%用戶向GenAI工具粘貼數據,其中半數涉及企業信息。
"當企業擁抱GenAI時,安全團隊正面臨日益嚴峻的隱形威脅挑戰。"LayerX CEO Or Eshed警示道。
報告強調企業需建立主動式風險管理體系:CISO應構建全面的AI風險緩解框架,通過終端級AI審計掌握員工使用情況,強制禁用個人賬戶并推行SSO認證,在確保生產效率的同時構建安全防線。
"在AI驅動時代,全面禁止并非長久之計。實施自適應、場景化的安全策略,方能在保障生產力與數據安全間取得平衡。"Eshed總結道。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號