生成式人工智能(AI)近年成為不少「打工仔」提升工作效率的恩物,但方便背後卻暗藏重大安全隱憂。人工智能及瀏覽器安全公司 LayerX 發布最新《企業AI及SaaS數據安全報告》,直指AI已超越傳統的「影子SaaS」或文件分享,成為企業數據外洩的單一最大渠道。報告分析真實企業數據後揭示,敏感資料正以驚人速度,透過員工日常不經意的「複製貼上」動作,經由未受監管的個人AI賬戶,悄悄流入 ChatGPT 或 Claude 等工具。研究指出,傳統的數據遺失防護(DLP)工具,面對這種新型洩密模式已形同虛設,完全失去效用。
即刻【按此】,用 App 睇更多產品開箱影片
研究揭企業數據外洩新危機:AI已成頭號洩密渠道
一項由人工智能及瀏覽器安全公司 LayerX 發布的最新《企業AI及SaaS數據安全報告》指出,資安界長期將人工智能(AI)視為「新興」技術的觀念已經過時。報告證實,AI早已不是未來隱憂,而是現時企業數據外洩中單一最大且不受控的渠道,其風險甚至超越「影子SaaS」或未經管理的檔案分享服務。
LayerX透過分析真實企業的瀏覽遙測數據,揭示了一個反直覺的真相:企業AI所面對的問題並非來自明日的未知威脅,而是源於今日的日常工作流程。報告發現,敏感數據正以驚人速度流向 ChatGPT、Claude 及 Copilot 等大型語言模型,主要途徑是未受管轄的個人賬戶,以及肉眼難察的「複製貼上」(copy/paste)動作。傳統上針對檔案型環境設計的數據遺失防護(DLP)工具,面對這種新型洩密模式,已完全失去效用。
生成式AI極速滲透 企業管治出現真空
生成式AI工具在短短兩年間,其普及速度已達至電郵或網上會議等技術需數十年才能達到的水平。報告顯示,近一半(45%)的企業員工現已使用生成式AI,單是 ChatGPT 的使用率就高達 43%。整體而言,AI活動佔所有企業應用程式活動的 11%,已與檔案分享和辦公室生產力應用程式的使用量相若。
然而,這種爆發性增長並未伴隨相應的管治。數據指出,絕大部分(67%)的AI使用行為均發生在企業管控範圍之外,透過員工的個人賬戶進行,使首席資訊安全官(CISO)對數據流向及員工使用狀況完全不知情,形成龐大的「影子AI」盲點。
複製貼上成洩密重災區 身份驗證形同虛設
數據流向亦令人擔憂。在所有上載至生成式AI工具的檔案中,高達四成(40%)包含個人身份資料(PII)或支付卡資料(PCI),而當中有近四成的上傳動作是透過個人賬戶進行。然而,真正的數據洩漏黑洞是複製貼上行為:77%的員工會貼上數據到生成式AI工具,當中 82%的動作同樣來自非受管轄的賬戶。員工平均每日透過個人賬戶進行 14 次貼上,當中至少三次涉及敏感資料。
更值得注意的是身份驗證的假象。即使員工使用企業認證登入高風險平台如客戶關係管理(CRM)及企業資源規劃(ERP)系統,他們亦經常繞過單一登入(SSO)機制:71%的 CRM 和 83%的 ERP 登入屬非聯合認證。這使得公司登入與個人登入在功能上並無分別,企業可視性與控制權隨之消失。
應對策略轉向行動中心 重構數據安全邊界
除了AI,即時通訊軟件亦是數據洩漏的「靜默」盲點。87%的企業聊天應用程式使用發生在非受管轄賬戶上,而 62%的用戶會在聊天應用程式中貼上 PII/PCI 數據。報告總結,資安團隊目前正將資源投放在錯誤的戰場上,數據安全的戰爭已從檔案伺服器或規範的 SaaS 轉移至瀏覽器,即是員工混合使用個人與公司賬戶、遊走於正規與影子工具之間的地方。
企業AI時代資訊安全 4 大關鍵建議
Source:The Hacker News
【相關報道】
【相關話題】ai prompt範例|ChatGPT 4o指令教學示範 TRIRO原則給正確指令獲得具體想要答案
AI 如何給指令|AI指令範例| AI 取代人類的工作,是不少人擔心的事情,不過大量的行業專家都指出,AI 取代的不是人類,而是不懂使用 AI 的人。ChatGPT 是不少人都聽過的 AI 聊天機械人,可能不少人都試用過,但你又能獲得想要的答案嗎?《ezone》整理以下AI prompt指令教學供大家參考。
Source: ezone.hk
【相關話題】【Google Gemini懶人包】 功能、收費、香港用法全攻略!免費付費版功能拆解
本文為Google Gemini用家提供指南。Gemini是Google由Bard進化而來的最新多模態AI,能處理文、圖、音、碼,目標是做你的智能助手。助提升效率、創意,整合Google應用。主要模型有2.5 Pro及Flash,提供免費及付費版(常與Google One捆綁)。香港個人用戶或需VPN,企業版已支援。使用時需留意數據私隱、潛在偏見,但支援中文及廣東話。Gemini持續進化,擁Deep Think等尖端功能。
Source:ezone.hk