八成半企業已引入 AI　近半員工卻暗中使用「影子 AI」？

生成式 AI 已成為職場新常態：撰寫電郵、整理會議記錄、製作簡報，借助 ChatGPT、Grok、Claude 等工具，便可以令以往需時三小時的工作，縮短至三十分鐘即可完成，效率提升近一倍。

然而，正因這股 AI 工作風氣，悄然催生了一項企業難以察覺卻後果嚴重的風險——「影子 AI」（Shadow AI）。

所謂「影子 AI」，即員工在資訊安全及 IT 部門不知情的情況下，擅自使用未經正式審批的生成式 AI 工具。

對員工而言，這可能只是「借用一個更聰明方便的助手」。但貪圖一時之便，可能會將客戶資料、商業機密等等尚未公布的資料，永久送入公共 AI 模型的訓練數據庫。

根據最新Sophos《亞太地區及日本網絡安全趨勢》報告數據：

一、85% 受訪企業已正式採購及部署商業級 AI 工具

二、46% 企業發現員工私下使用未經授權的AI 平台

三、38% 企業完全不知員工正使用哪些 AI 模型

四、31% 企業更發現員工使用的 AI 工具本身存在安全漏洞

由此證明，近半數員工為了「快、靚、正」，幾乎把企業內部資料白白公開送上。

為何難以杜絕？

多數情況並非出於惡意，而是員工出於善意提升效率。問題在於，這些未經審批的工具通常欠缺企業級加密、數據不離開境內的承諾。一旦資料被上傳至公共模型，便可能永久成為訓練數據，被競爭對手或黑客間接取閱。

對金融、電訊、保險及政府相關機構而言，生成式 AI 的不當使用，不僅潛藏重大風險，更如同埋下隨時引爆的法規地雷，輕則罰款、重則相關業務受到影響。

然而，生成式 AI 融入日常工作的趨勢已不可逆轉，企業既無可能、也不應該採取全面封殺。

挑戰不在於 AI 本身，而是在於「有沒有建立清晰、可執行的治理框架」。

撰文：TouchDown 創·著陸