你是資安破口嗎?LayerX報告曝「複製貼上」壞習慣使機敏資訊外流給AI
記者孫敬/編譯
最新研究發現,ChatGPT等生成式人工智慧(GenAI)工具正在徹底改變企業對 「影子IT」(Shadow IT) 風險的定義。隨著員工對AI的使用變得過於開放,許多人甚至主動且自願地將個人身分識別資訊(PII)或支付卡產業資料(PCI)提供給這些AI工具。
延伸閱讀:ASCII走私攻擊恐威脅Gemini!Google否認為安全漏洞未做修補
方便的日常工作應用成為資料安全潛在破口
「影子IT」指的是員工在企業環境中,使用未經IT安全部門批准或審核的程式和應用程式的行為。過去,這類行為通常包括使用網頁版的圖片轉PDF工具、即時通訊軟體WhatsApp,或是像Dropbox個人雲端,因為它們既方便又快捷。
然而,資安公司LayerX最新報告指出,這讓企業面臨從引入惡意軟體、勒索軟體到透過未受保護的雲端洩露敏感資料等各種網路風險。
LayerX:45%員工已用AI辦公,近22%的人直接貼敏感資訊
LayerX最新發布的《2025企業AI與SaaS資料安全報告》揭示了令人擔憂的數據:
- 使用率高: 目前有將近一半(45%)的企業員工正在以某種形式使用生成式AI工具。
- 複製貼上成習慣: 在這些AI使用者中,超過四分之三(77%)曾將企業數據複製貼到AI工具中。
- 洩密風險: 將近四分之一(22%)的員工曾將PII或PCI等敏感資料,用同樣的方式貼給了AI工具。
報告指出,有82%的複製貼上行為是來自未受控管的個人帳號,這導致企業對於「哪些資料正在被共享」幾乎沒有可視性,為資料外洩和合規風險創造了一個巨大的盲點。
此外,約五分之二上傳到GenAI網站的文件也包含此類敏感資訊,其中有 39% 的檔案上傳是來自非企業帳號。在工具選擇上,ChatGPT以超過90%的員工使用率穩居龍頭,絕大多數(約83%)的員工只使用一種AI工具。其他值得注意的工具包括Gemini(15%)、Claude(5%)和Copilot(約3%)。
資料來源:TechRadar
