影子 AI 2.0 來臨?專家揭「設備端推理」為何成為資安長新盲點
過去 18 個月,多數企業資安長對生成式 AI 的治理邏輯其實相對清楚:只要守住瀏覽器與網路出口,就能掌握大部分風險。企業透過 CASB、DLP、代理閘道與端點政策,監控員工是否把敏感資料貼進外部 AI 服務。這套模式的核心前提很簡單:只要資料離開企業網路、送往外部 API,企業就有機會看見、記錄,甚至攔截。然而,這道防線正在崩解。
問題在於,不只是員工更常用 AI,而是 AI 的執行位置正在改變。《InfoWorld》指出,整個 AI 產業正從訓練導向轉向推理導向,而推理又逐漸從公有雲往本地設備、終端裝置與邊緣環境移動。一場被多數企業忽略的資安轉變因此發生。
資深 MLOps 工程師 Jayachander Reddy Kandakatla 在《VentureBeat》指出,大型語言模型已能直接在筆電等本地裝置上執行,而員工,尤其是開發者與技術團隊,正自行下載模型、在本地設備離線推理,完全繞過雲端 API 與公司既有的治理機制。他把這個現象稱為「影子 AI 2.0」或「自帶模型(BYOM)」的新時代。
傳統防護失效:新型威脅浮現
兩年前,在工作用筆電上執行一個有用的 LLM 還是少數技術人員的特殊技能。如今,對技術團隊來說這已成為日常操作。Kandakatla 指出,這一轉變由三件事共同促成:消費級加速器性能大幅提升、量化技術模型可被壓縮為更小更快的格式普及,以及發佈管道極度便利。
當資料沒有離開筆電,資安長又為何仍需要在意?Kandakatla 指出,當推理過程轉移到本地,企業面臨的風險已從單純的資料外洩,轉移至完整性、來源可信度與合規性三大面向。
以完整性風險來說,涉及決策與程式碼污染。開發者可能下載未經驗證的社群模型來輔助編寫程式碼。這些模型可能生成看似合理但隱藏漏洞的程式碼。如果這些互動發生在離線狀態,資安團隊在事後調查漏洞時,將無法追蹤 AI 是否曾介入決策。
以合規性風險來看,許多高效能開源模型帶有「非商業用途」或嚴格的歸屬條款,員工私下在地端使用這些模型開發產品,將使企業暴露於潛在的法律訴訟與合規爭議中。
就模型供應鏈漏洞而言,因為模型檔案本身就可能成為攻擊載體,部分舊格式如基於 Pickle 的 PyTorch 檔案,在載入時可能執行惡意程式碼,員工若隨意從開源庫下載模型,等同於下載未知的執行檔。
失去可觀測性,治理重心必須轉移
影子 AI 2.0 最致命的問題在於失去「可觀測性」:由於本地推論過程無法被記錄與追蹤,企業將失去對 AI 行為的掌控力。資安公司 Bright Security 在其《2026 LLM 安全狀態報告》中,就將可觀測性不足列為 LLM 安全的重大缺口。
Kandakatla 建議,資安團隊不能再單純依賴封鎖網址來解決問題,必須將治理重心從傳統的網路邊界,擴展至終端裝置與模型管理。對此,他也提出了三個實務方向。
第一,將治理下移至終端裝置,因為網路 DLP 與 CASB 對雲端使用仍有其價值,但對 BYOM 場景已不敷使用。他建議,企業至少應具備幾種能力,例如辨識大尺寸模型檔案、監測常見本地推理執行程序與本地服務、掌握異常 GPU/NPU 使用模式,並透過 MDM 與 EDR 去限制未經批准的 runtime 安裝。
但真正有效的治理,不會只是封鎖。Kandakatla 認為,影子 AI 往往是因為企業內部的正式工具太慢、太弱、太難申請。與其讓員工去外面「撿模型」,更合理的做法是建立受治理的內部模型目錄,提供已審核的模型版本、清楚的授權說明、固定雜湊值、安全的本地使用規範,以及明確界定哪些資料可用、哪些不可用。換句話說,企業如想阻止影子 AI 2.0 擴散,與其只強調禁止,不如提供一條可控、可追蹤、又不拖慢效率的正式道路。
第三,更新政策語言。多數可接受使用政策只涵蓋 SaaS 與雲端工具,BYOM 時代需要政策明確涵蓋在企業終端裝置上下載與執行模型檔案、可接受的來源、授權合規要求、涉及敏感資料時的使用規則,以及本地推論工具的留存與記錄預期。
Kandakatla 的結論是資安邊界正在從雲端回移至裝置,下一階段的 AI 治理,重點不在封鎖網站,而在於控制終端裝置層級的模型檔案、來源可信度與政策執行,且同時不扼殺開發者的生產力。
【推薦閱讀】
◆ Anthropic Mythos 進入大型銀行、美英加三國監管體系同步介入:為何美財長緊急召集華爾街 CEO?
*本文開放合作夥伴轉載,資料來源:《VentureBeat》、Bright、《InfoWorld》,首圖來源:AI 工具生成