AI 工具无处不在，而且大多数都不受您的关注

发布时间：2025年7月3日来源：szf

快速阅读: 《帮助网络安全》消息，根据Zluri报告，80%的AI工具未被IT管理，引发数据风险。CISO需掌握AI使用情况，分类管理，限制权限，并加强员工培训，以降低安全威胁。（98字）

根据Zluri发布的《2025年工作场所AI现状》报告，80%的员工使用的AI工具并未受到IT或安全团队的管理。AI正在工作场所中悄然渗透，常常在人们毫无察觉的情况下发生。如果你是首席信息安全官（CISO），如果你想避免盲点和数据风险，你需要清楚了解AI在整个组织中出现在哪些地方，以及它在做些什么。

发生了什么？为什么重要？

组织在各个部门中使用着数十种甚至数百种AI工具。这些工具广泛应用于营销、销售、工程、人力资源和运营等部门。但大多数安全团队对其中的了解不足20%。员工经常自行试用AI应用，而没有经过批准或监督，这导致了“影子AI”的形成——即在IT和安全团队不知情的情况下运行的工具。

当AI系统处理敏感的内部数据或生成影响业务决策的输出时，这种缺乏监督的风险就变得尤为严重。未经审查的工具可能会连接到未知的供应商，在公共服务器上存储数据，或者在没有加密或审计追踪的情况下共享输入和输出。随着AI越来越多地融入日常任务，这种风险也在持续加剧。CISO必须高度重视这一问题。

数据泄露是最紧迫的威胁之一。未由IT管理的AI工具可能会处理并存储敏感的内部信息，从而将这些信息暴露给外界。在受监管的行业中，这种情况很容易引发合规违规，尤其是在涉及受保护的健康数据、财务信息或客户记录时。

另一个日益增长的担忧是访问权限泛滥。AI平台通常会创建服务账户或通过API密钥进行连接。如果没有统一的清单，就很难跟踪这些凭证。这会扩大攻击面，同时由于缺乏审计追踪，如果数据被滥用或泄露，却无法查明原因，那么应对措施几乎无从下手。

CISO可以采取的措施：

全面掌握所有AI工具的使用情况

投资于能够检测网络、身份系统和SaaS使用情况的发现平台，以识别正在使用的AI工具。

全面掌握所有AI工具的使用情况

按风险等级进行分类

根据数据访问权限对工具进行分类：涉及高敏感数据的工具需要更严格的审查。相应制定政策。

实施最小权限原则