北京
員工裝個AI寫作助手、在IDE里接個編程助手、用瀏覽器插件總結(jié)會議——這本是高效員工的正常操作。但問題是,這些工具大多沒經(jīng)過IT審批,卻通過OAuth或瀏覽器會話連上了企業(yè)數(shù)據(jù)。
Adaptive Security的數(shù)據(jù)顯示,80%的員工在工作中使用未經(jīng)批準(zhǔn)的生成AI應(yīng)用,而只有12%的公司制定了正式的AI治理政策。安全團隊的傳統(tǒng)工具監(jiān)控的是郵件和網(wǎng)絡(luò)流量,但瀏覽器里的AI工具根本不走企業(yè)網(wǎng)絡(luò),完全繞過監(jiān)控。
這個"影子AI"的缺口正在快速擴大。員工日均運行3-5個AI工具,很多能訪問共享盤、郵件和內(nèi)部文檔,而安全團隊對此毫無 visibility。
解決思路不是封殺,而是建立一條安全、可見、受認(rèn)可的AI使用通道。以下是五個具體步驟。
第一步:摸清家底
安全團隊先得知道組織里到底在跑什么AI工具,答案往往會讓人意外。重點關(guān)注三個渠道:
OAuth連接。多數(shù)AI工具通過OAuth申請訪問Google Workspace或Microsoft 365,獲得企業(yè)數(shù)據(jù)的讀寫權(quán)限。按權(quán)限范圍排序,季度審計第三方應(yīng)用連接,通常能發(fā)現(xiàn)幾十個從未審核過的工具。
瀏覽器插件。很多AI工具以瀏覽器擴展形式運行,不碰操作系統(tǒng),傳統(tǒng)終端管理工具完全檢測不到。需要瀏覽器管理方案或輕量級終端代理來掃描識別。
已審批工具里捆綁的AI功能。Microsoft Copilot、Google Gemini、Salesforce Einstein這類功能,常在原廠商審核后引入,往往沒有單獨的安全評估。
另外,做個員工調(diào)查也很值。以"幫助更安全地工作"為框架的調(diào)查,通常能得到坦誠反饋,有些影子工具自動化發(fā)現(xiàn)根本掃不到。
這一步的目標(biāo)是:當(dāng)前準(zhǔn)確的清單——每個AI工具、誰在用它、能訪問什么數(shù)據(jù)。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
