客座文章：AI 副驾驶如何提高数据泄露风险——让“最低权限”成为必要条件

快速阅读: 据《安保大道》最新报道，吉姆·阿尔科夫指出，AI副驾如微软小冰虽提升了企业搜索功能，但也暴露了过度访问权限带来的安全风险。40%的IT管理者因安全问题推迟了小冰的部署。真正的挑战在于解决长期存在的过度授权访问问题，而非AI本身。组织需转向最小权限管理模式，以应对不断增长的安全风险。

由吉姆·阿尔科夫撰写的AI副驾的兴起暴露出一个关键的安全漏洞：敏感数据的扩散和过度访问权限。直到现在，企业搜索能力不足一直将许多安全风险控制在一定范围内——员工实际上无法找到他们被授权访问的大部分数据。但微软小冰改变了游戏规则，大幅增强了企业搜索功能，并暴露了组织未曾察觉的敏感信息。许多人认为小冰不会外部共享数据且会尊重现有的用户权限，这导致了一种虚假的安全感。但真正的问题不在于小冰是否会越界——而是这条边界过于宽泛。如果员工已经拥有过多的访问权限，小冰只会使这种暴露更加明显。

零散的补救措施效果有限这一现实正在产生严重影响。最近的一项加特纳调查显示，由于安全问题，40%的IT管理者推迟了小冰的部署。阿尔科夫写道，他与许多首席信息官和首席信息安全官交谈过，他们表示这些问题直接影响了大企业的部署计划。微软的回应？不是推动组织走向真正的“最小权限”模式，而是建议进行有限的小冰试验，看看哪些数据会被暴露。这只是治标不治本的方法。小冰并不是问题所在——它只是放大了早已存在的问题。真正的问题是那些困扰企业多年的过时、过度授权的访问模型。

过度授权的访问

过度访问的风险并非新鲜事物。身份相关问题近年来已成为引发安全漏洞的主要原因。但许多组织仍然缺乏有效的管理访问工具。试想一下：很多企业无法回答有关自身数据安全的基础问题，包括：

– 谁有权访问什么？
– 他们是如何获得这些访问权限的？
– 他们如何使用这些访问权限？
– 他们是否真的需要这些访问权限？

问题源自传统的IAM系统和零散的手动流程——完全不适合当今分散的云环境、SaaS蔓延以及AI驱动的环境。

AI的承诺与风险

AI依赖数据，但这也带来了风险。最大的威胁之一并不来自AI本身——而是那些过度授权的访问策略使得组织变得脆弱。微软自己的数据显示，95%的授权权限从未被使用。这与最小权限原则背道而驰。对敏感数据进行分类和限制确实有帮助，但这并不能解决根本问题：员工最初就拥有比需要更多的访问权限。

尽管存在这些风险，企业仍在快速采用AI，而隐私和安全成为领导层最为关注的问题。然而，如果没有在访问管理方面做出根本性改变，组织将继续面临不必要的风险。

确保AI的安全

现在是时候让组织超越‘走过场’式的访问安全管理了。实施真正的最小权限管理——即员工只拥有实际需要的数据访问权限——不再是可选项，而是必需的。现代IAM解决方案必须提供可见性、智能和自动化来重构权限并监控AI驱动的活动。没有这些基础步骤，随着AI能力的提升，安全风险只会增加。

选择显而易见：要么组织现在加强访问安全管理，要么AI将暴露其不足。

关于作者：吉姆·阿尔科夫是奥莱莉亚公司的联合创始人兼首席执行官。他曾领导赛富时、微软和谷歌Nest的安全工作，为艾姆比特和斯奈克等初创企业提供咨询，并持有50项美国专利。他在普渡大学获得了电气工程学位。2025年2月26日 | 客座博客文章 | 热门故事

—

这是安全博主网络转载自《最后的守望者》的文章，作者为巴科希多。原文链接：[https://www.lastwatchdog.com/guest-essay-how-ai-co-pilots-spike-the-risk-of-data-leakage-making-least-privilege-a-must/](https://www.lastwatchdog.com/guest-essay-how-ai-co-pilots-spike-the-risk-of-data-leakage-making-least-privilege-a-must/)

(以上内容均由Ai生成)