
企业采用AI驱动工具为数据安全开辟了一条新战线:员工将敏感信息粘贴到聊天机器人、AI搜索工具和编码助手中时无意造成数据泄露,而且往往没有意识到数据正在离开组织的控制范围。
TechRadar报道称,随着企业在没有相应数据治理控制措施的情况下向员工部署ChatGPT、Claude、Copilot和Gemini等AI工具,这一问题已达到危机程度。与由外部攻击者造成的传统数据泄露不同,这类泄露通常是意外发生的:员工将客户数据粘贴到提示词中、开发者将专有代码上传到AI编码助手、或销售人员要求AI分析机密电子表格。
规模。 多家安全公司的研究表明,现在大多数企业都有敏感数据在缺乏充分监督的情况下通过第三方AI模型流转。常见的泄露途径包括:
- 直接提示词输入: 员工将个人身份信息、财务数据或商业机密粘贴到AI聊天界面中,而这些界面的服务条款允许基于输入内容进行训练。
- 企业AI搜索工具: 微软Copilot和Glean等平台对内部文档建立索引,可能显示超出用户授权范围的信息,违反了”按需知悉”访问原则。
- AI编码助手: 开发人员将专有源代码上传到基于云的代码补全服务,使知识产权暴露于模型训练流程。
- SaaS集成扩散: 连接到企业SaaS工具的AI插件和扩展继承了OAuth令牌,其权限范围远超工作流所需。
监管压力。 这一问题正吸引监管机构的关注。欧盟AI法案和《数字运营韧性法案》(DORA)都要求金融机构和关键基础设施运营商证明其AI工具集成不会造成未经授权的数据暴露途径。美国证券交易委员会的网络安全与新兴技术部门正在积极审查受监管实体做出的AI治理陈述。
专家建议组织部署提示词级别的分类和实时执行系统,在数据到达AI模型前进行检查,将AI工具权限分割到最低必要访问级别,并创建所有流经AI管道的数据的可审计日志。他们指出,没有技术执行力的政策文件并不能阻止数据外泄。
来源: TechRadar, Knostic, Wiz
婷 翻译

