生成式人工智能（GenAI）、自主化解決方案以及基于AI的商業(yè)智能儀表盤，因其在任務(wù)執(zhí)行中的高效與迅捷，已成為眾多企業(yè)的標(biāo)配。AI能力的持續(xù)突破，有望重塑全球經(jīng)濟(jì)與社會(huì)形態(tài)。然而，在享受技術(shù)紅利的同時(shí)，一種日益凸顯的風(fēng)險(xiǎn)正悄然浮現(xiàn)——“影子AI”（Shadow AI），即員工在未經(jīng)批準(zhǔn)的情況下擅自使用AI工具完成工作任務(wù)。這一現(xiàn)象讓許多企業(yè)和管理者不禁發(fā)問(wèn)：AI究竟何時(shí)才能真正兌現(xiàn)其變革性潛力與價(jià)值創(chuàng)造的承諾？

“影子AI”與早前的“影子IT”如出一轍，都是繞過(guò)正式技術(shù)管控的非授權(quán)技術(shù)應(yīng)用。但其后果更為嚴(yán)峻，尤其在數(shù)據(jù)隱私、安全防護(hù)和合規(guī)監(jiān)管方面，可能使企業(yè)陷入巨大風(fēng)險(xiǎn)，亟需建立有效的應(yīng)對(duì)機(jī)制。

理解"影子AI"

“影子AI”指的是員工在未獲得IT或合規(guī)部門授權(quán)的情況下，私自使用聊天機(jī)器人、代碼助手、大語(yǔ)言模型（LLMs）等AI工具。與經(jīng)過(guò)嚴(yán)格測(cè)試和評(píng)估的正規(guī)AI系統(tǒng)不同，這類“影子”應(yīng)用往往會(huì)形成信息孤島，給企業(yè)風(fēng)險(xiǎn)管理帶來(lái)隱患。例如，一名程序員若使用個(gè)人訂閱的GitHub Copilot生成生產(chǎn)級(jí)代碼，雖提升了效率，卻可能在無(wú)形中造成敏感信息外泄、合規(guī)漏洞等風(fēng)險(xiǎn)。對(duì)企業(yè)而言，此類潛在損失遠(yuǎn)超短期收益。

"影子AI"帶來(lái)的風(fēng)險(xiǎn)

“影子AI”的風(fēng)險(xiǎn)遠(yuǎn)超傳統(tǒng)“影子IT”，主要體現(xiàn)在以下幾個(gè)方面：

1

數(shù)據(jù)泄露與知識(shí)產(chǎn)權(quán)暴露

“影子AI”通常在孤立環(huán)境中運(yùn)行，員工可能無(wú)意中將機(jī)密信息或商業(yè)資產(chǎn)輸入外部AI系統(tǒng)，導(dǎo)致數(shù)據(jù)外泄或知識(shí)產(chǎn)權(quán)被盜。根據(jù)IBM《2025年數(shù)據(jù)泄露成本報(bào)告》，每起與AI相關(guān)的數(shù)據(jù)泄露事件平均給企業(yè)造成超過(guò)65萬(wàn)美元的損失。這些損失不僅來(lái)自監(jiān)管罰款，更源于企業(yè)缺乏有效的AI治理框架，無(wú)法對(duì)AI使用進(jìn)行有效管控。

2

合規(guī)風(fēng)險(xiǎn)

未經(jīng)授權(quán)使用AI工具，意味著企業(yè)無(wú)法將其納入合規(guī)體系，例如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《AI風(fēng)險(xiǎn)管理框架》（AI RMF），強(qiáng)調(diào)透明、協(xié)作的風(fēng)險(xiǎn)管理流程；歐盟《人工智能法案》要求高風(fēng)險(xiǎn)AI系統(tǒng)符合安全與倫理標(biāo)準(zhǔn)；中國(guó)《生成式人工智能服務(wù)管理暫行辦法》也明確規(guī)定，AI服務(wù)需確保數(shù)據(jù)合法、內(nèi)容安全，并落實(shí)用戶權(quán)益保護(hù)。缺乏合規(guī)整合，企業(yè)極易觸碰監(jiān)管紅線。

3

安全漏洞

非授權(quán)的AI工具往往缺乏安全防護(hù)，容易成為網(wǎng)絡(luò)攻擊的入口。攻擊者可能通過(guò)注入惡意代碼、發(fā)起網(wǎng)絡(luò)攻擊或篡改模型參數(shù)，破壞系統(tǒng)穩(wěn)定性，竊取敏感信息，甚至操控企業(yè)運(yùn)營(yíng)。

4

模型幻覺與偏見

“影子AI”常依賴未經(jīng)驗(yàn)證的模型，可能產(chǎn)生誤導(dǎo)性輸出（即“模型幻覺”）或帶有偏見的結(jié)果，導(dǎo)致決策失誤，削弱組織對(duì)AI的信任。

當(dāng)前的現(xiàn)實(shí)是：盡管全球范圍內(nèi)許多企業(yè)已開發(fā)出創(chuàng)新性AI應(yīng)用，但僅有4%實(shí)現(xiàn)了理想的投資回報(bào)率（ROI），其主要原因正是“影子AI”的泛濫。這些繞過(guò)監(jiān)管的工具不僅分散了企業(yè)對(duì)安全與合規(guī)的注意力，更埋下了數(shù)據(jù)丟失、信息篡改和惡意代碼注入等安全隱患。

為何需要AI使用審計(jì)

企業(yè)必須建立系統(tǒng)化的機(jī)制，以識(shí)別和防范“影子AI”，從而強(qiáng)化合規(guī)性、控制企業(yè)風(fēng)險(xiǎn)。負(fù)責(zé)任地使用AI，才能避免誤導(dǎo)客戶、泄露商業(yè)機(jī)密或引發(fā)網(wǎng)絡(luò)攻擊。為此，企業(yè)應(yīng)建立堅(jiān)實(shí)的AI治理原則，開展風(fēng)險(xiǎn)評(píng)估，并持續(xù)監(jiān)控AI使用情況。然而，實(shí)施過(guò)程中仍面臨挑戰(zhàn)：AI監(jiān)控工具成本高昂、員工對(duì)使用政策存在抵觸、專業(yè)AI審計(jì)人才匱乏。要破解這些難題，必須通過(guò)定期的AI使用審計(jì)和結(jié)構(gòu)性評(píng)估，識(shí)別、評(píng)估并管控非授權(quán)AI工具。

對(duì)AI使用情況進(jìn)行審計(jì)可在多個(gè)層面幫助企業(yè)規(guī)避風(fēng)險(xiǎn)、維護(hù)信任：

AI資產(chǎn)發(fā)現(xiàn)與清點(diǎn)

審計(jì)可幫助企業(yè)識(shí)別云服務(wù)中是否存在“影子AI”應(yīng)用。例如，世界經(jīng)濟(jì)論壇2025年報(bào)告強(qiáng)調(diào)，技術(shù)審計(jì)對(duì)于提升透明度、問(wèn)責(zé)制和系統(tǒng)韌性至關(guān)重要，有助于實(shí)現(xiàn)與企業(yè)風(fēng)險(xiǎn)管理目標(biāo)一致的AI治理。企業(yè)還可借助數(shù)據(jù)防泄露（DLP）和安全信息管理系統(tǒng)，定位安全漏洞及其源頭。

政策制定與執(zhí)行

企業(yè)應(yīng)在充分理解“影子AI”風(fēng)險(xiǎn)的基礎(chǔ)上，制定明確的AI使用政策。政策應(yīng)列出獲準(zhǔn)使用的AI工具清單，規(guī)范數(shù)據(jù)共享邊界，并強(qiáng)制要求員工接受負(fù)責(zé)任AI使用的培訓(xùn)。通過(guò)分類風(fēng)險(xiǎn)、明確控制措施，企業(yè)可主動(dòng)管理AI相關(guān)風(fēng)險(xiǎn)。

訪問(wèn)與身份管控

審計(jì)有助于企業(yè)建立完善的身份與訪問(wèn)管理（IAM）機(jī)制，限制員工對(duì)AI工具的訪問(wèn)權(quán)限，尤其是涉及敏感數(shù)據(jù)的系統(tǒng)。這不僅能提升安全性，還能增強(qiáng)問(wèn)責(zé)能力，優(yōu)化AI流程，支持更穩(wěn)健的AI應(yīng)用落地。

滿足問(wèn)責(zé)標(biāo)準(zhǔn)

即使企業(yè)自研AI工具，也需確保其符合倫理與合規(guī)的問(wèn)責(zé)框架。這通常要求記錄工具的使用情況、所用模型、輸出結(jié)果及預(yù)期功能，形成可追溯的審計(jì)鏈條，為持續(xù)監(jiān)督提供依據(jù)。

構(gòu)建AI治理路線圖

要有效遏制“影子AI”，企業(yè)需采取更全面的策略，推動(dòng)跨部門協(xié)作的前瞻性AI治理。透明、可信的AI應(yīng)用，是企業(yè)可持續(xù)發(fā)展的基石。為此，企業(yè)應(yīng)著手制定AI治理路線圖，重點(diǎn)包括：

1. 建立AI工具注冊(cè)庫(kù)態(tài)

企業(yè)應(yīng)建立一個(gè)全面的AI工具目錄，收錄所有經(jīng)過(guò)測(cè)試與審批的AI應(yīng)用，并確保其符合業(yè)務(wù)需求。這一目錄不僅能提升合規(guī)性與安全性，還能降低偏見風(fēng)險(xiǎn)，加速AI部署，提升效率、推動(dòng)創(chuàng)新、優(yōu)化客戶體驗(yàn)，并實(shí)現(xiàn)成本節(jié)約 。

2. 培訓(xùn)與文化建設(shè)命

企業(yè)需對(duì)員工進(jìn)行AI倫理標(biāo)準(zhǔn)與合規(guī)要求的系統(tǒng)培訓(xùn)，內(nèi)容應(yīng)涵蓋合規(guī)要點(diǎn)、非授權(quán)AI使用的風(fēng)險(xiǎn)等。持續(xù)的教育有助于推動(dòng)合規(guī)使用、建立利益相關(guān)者信任、規(guī)避法律風(fēng)險(xiǎn)，并培育負(fù)責(zé)任的AI文化。此外，企業(yè)應(yīng)組建由IT、法務(wù)、合規(guī)、人力資源和網(wǎng)絡(luò)安全等部門組成的跨職能團(tuán)隊(duì)，協(xié)同推進(jìn)AI治理。

3. 培訓(xùn)與文化建設(shè)命

已建立ERM體系的企業(yè)，應(yīng)將AI使用納入整體風(fēng)險(xiǎn)框架，實(shí)現(xiàn)動(dòng)態(tài)監(jiān)控與持續(xù)優(yōu)化。風(fēng)險(xiǎn)管理部門應(yīng)與跨職能團(tuán)隊(duì)緊密合作，制定AI風(fēng)險(xiǎn)應(yīng)對(duì)策略，并將其融入企業(yè)文化。

4. 與AI開發(fā)者及供應(yīng)商協(xié)作

企業(yè)應(yīng)與AI技術(shù)提供方合作，共同保護(hù)數(shù)據(jù)安全。例如，通過(guò)邏輯隔離、物理防護(hù)、加密技術(shù)和數(shù)據(jù)權(quán)限控制等手段，防止用戶在使用AI時(shí)造成數(shù)據(jù)泄露。

將上述舉措納入AI治理路線圖，是企業(yè)實(shí)現(xiàn)負(fù)責(zé)任AI應(yīng)用的關(guān)鍵。這不僅能有效管控風(fēng)險(xiǎn)，還能提升運(yùn)營(yíng)效率、增強(qiáng)信任、贏得利益相關(guān)者支持，并最大化AI的長(zhǎng)期價(jià)值。

結(jié)語(yǔ)

“影子AI”正嚴(yán)重威脅企業(yè)安全。那些希望真正發(fā)揮AI潛力的組織，必須制定清晰的使用規(guī)范與治理路線圖，防范未經(jīng)授權(quán)使用AI所帶來(lái)的運(yùn)營(yíng)、法律與聲譽(yù)風(fēng)險(xiǎn)。同時(shí)，企業(yè)還需定期開展AI審計(jì)、加強(qiáng)員工培訓(xùn)、嚴(yán)格執(zhí)行合規(guī)政策，并設(shè)立監(jiān)督團(tuán)隊(duì)，全面保護(hù)數(shù)據(jù)、人員與模型資產(chǎn)。

歸根結(jié)底，通過(guò)實(shí)施系統(tǒng)的AI治理戰(zhàn)略來(lái)管理非授權(quán)AI使用，企業(yè)才能在控制風(fēng)險(xiǎn)的同時(shí)，充分釋放AI的價(jià)值，邁向一個(gè)安全、可持續(xù)、技術(shù)驅(qū)動(dòng)的未來(lái)。

作者：Alex Mathew

來(lái)源：ISACA微信公眾號(hào)

編輯：孫哲

目前180000+人已關(guān)注我們，您還等什么？