2023年7月,迪斯尼前員工馬修·范·安代爾收到一條令他毛骨悚然的Discord私信:"我掌握了你私人生活和工作的敏感信息。"對(duì)方不僅復(fù)述了他幾天前在Slack工作群中與同事的午餐對(duì)話,還陸續(xù)拋出了他的信用卡號(hào)、社保賬號(hào),甚至家中智能攝像頭Ring的登錄憑證。
安代爾意識(shí)到自己被黑客入侵,立即聯(lián)系了Disney的網(wǎng)絡(luò)安全團(tuán)隊(duì)。次日,黑客團(tuán)體Nullbulge在網(wǎng)上發(fā)布了超過(guò)4400萬(wàn)條Disney內(nèi)部消息,包括客戶隱私信息、員工護(hù)照號(hào)碼和主題公園及流媒體收入數(shù)據(jù)。
一場(chǎng)“影子AI”引發(fā)的重大數(shù)據(jù)泄漏事故
時(shí)隔兩年后,迪斯尼披露了這場(chǎng)重大數(shù)據(jù)泄露事件的調(diào)查結(jié)果,黑客的突破口居然是員工個(gè)人設(shè)備上安裝的“AI工具”。
2023年2月,安代爾在家用電腦通過(guò)代碼托管平臺(tái)GitHub下載了一款"免費(fèi)AI圖像生成工具"。這款表面正常的軟件實(shí)則為惡意程序,黑客借此植入鍵盤(pán)記錄木馬,劫持了他存儲(chǔ)所有密碼的1Password管理器。
更致命的是,范·安代爾的1Password賬戶未啟用雙因素認(rèn)證,黑客獲取主密碼后提取了密碼管理器中數(shù)百個(gè)賬號(hào)口令。通過(guò)竊取的Slack會(huì)話cookie,黑客直接登錄其迪斯尼內(nèi)部賬戶,潛伏五個(gè)月后突然發(fā)難。私人郵箱、兒童Roblox游戲賬號(hào)、社交媒體悉數(shù)淪陷,甚至迪斯尼的財(cái)務(wù)數(shù)據(jù)、員工護(hù)照信息等核心資產(chǎn)也遭泄露。
"影子AI":企業(yè)安全的新毒瘤
迪斯尼的遭遇這并非孤例。谷歌Mandiant調(diào)查顯示,2023年以牟利為目的的網(wǎng)絡(luò)入侵中,近40%使用竊取憑證,較2022年翻倍。而"影子AI"(員工未經(jīng)審批使用外部AI工具)正成為黑客的新跳板。
影子AI的主要風(fēng)險(xiǎn)
根據(jù)2024年Work Trend Index Annual Report,78%的AI用戶在工作中使用自帶工具,52%不愿承認(rèn)使用,顯示出員工對(duì)影子AI的隱秘依賴(lài)。另一項(xiàng)研究表明,74%的ChatGPT(一種與DeepSeek性能接近的生成式AI應(yīng)用)使用非公司賬戶,74%的Gemini和Bard使用也是如此,影子AI已經(jīng)在企業(yè)中無(wú)處不在。
員工使用個(gè)人AI工具的動(dòng)機(jī)多種多樣:?jiǎn)T工可能因現(xiàn)有工具效率低下而轉(zhuǎn)向更便捷的AI解決方案,或希望提升個(gè)人和團(tuán)隊(duì)生產(chǎn)力。然而,風(fēng)險(xiǎn)不容忽視。IBM的研究顯示,超過(guò)三分之一(38%)的員工承認(rèn)在未經(jīng)雇主許可的情況下與AI工具共享敏感工作信息,這可能導(dǎo)致數(shù)據(jù)泄露、合規(guī)違規(guī)和聲譽(yù)損害。此外,影子AI工具在外部服務(wù)器上存儲(chǔ)數(shù)據(jù),增加被黑客攻擊的風(fēng)險(xiǎn),尤其是在使用開(kāi)源AI模型時(shí)。
2025年CX Trends Report顯示,某些行業(yè)影子AI使用率同比增長(zhǎng)250%,如金融和醫(yī)療行業(yè),凸顯了監(jiān)管的緊迫性。
管理影子AI:平衡創(chuàng)新與安全
面對(duì)影子AI的挑戰(zhàn),企業(yè)需要采取綜合策略,減少風(fēng)險(xiǎn)同時(shí)保留AI帶來(lái)的創(chuàng)新潛力。首先,制定清晰的AI使用政策是關(guān)鍵,明確哪些工具可以被批準(zhǔn)使用,并教育員工關(guān)于影子AI的潛在危險(xiǎn)。其次,提供經(jīng)安全驗(yàn)證的AI工具,如企業(yè)級(jí)(私有化部署)AI替代方案,滿足員工需求,同時(shí)確保數(shù)據(jù)保護(hù)。
技術(shù)解決方案也至關(guān)重要。部署監(jiān)控和報(bào)告系統(tǒng)以檢測(cè)未經(jīng)授權(quán)的AI使用,如維護(hù)AI工具黑名單和白名單,可以有效防止影子AI的擴(kuò)散。此外,定期審計(jì)和跨部門(mén)合作可以幫助組織在治理和創(chuàng)新之間找到平衡點(diǎn)。
最后,創(chuàng)造一個(gè)開(kāi)放的溝通環(huán)境,鼓勵(lì)員工報(bào)告他們希望使用的AI工具,并通過(guò)集中平臺(tái)評(píng)估和批準(zhǔn)新工具,可以減少影子AI的發(fā)生。例如,Dell的研究顯示,91%的受訪員工曾嘗試生成式AI,71%在工作中使用,顯示出員工對(duì)AI的強(qiáng)烈需求。通過(guò)教育和支持,企業(yè)可以引導(dǎo)這種需求走向安全軌道。
