Shadow AI 才是你真正的数据泄露

问一家公司它最大的 AI 风险是什么，你听到的多半是关于模型的——偏见、幻觉、一个不听话的智能体。但真正在发生的那起事件，那起几乎在每家公司都已经上演的事件，要平庸得多：你自己的员工把机密信息喂进了 IT 部门从没批准、也根本看不见的 AI 工具里。这叫 shadow AI，而相关数字一点都不含糊。

71% 的员工在工作中用过未经批准的 AI 工具，57% 还刻意隐瞒自己在这么做，大约 98% 的组织报告存在某种未经许可的 AI 使用。这还不只是实习生：90% 的安全专业人士承认自己也在用未经批准的 AI 工具，而绝大多数高管公开把速度摆在数据隐私之前。与此同时，五分之一的公司已经遭遇过一次直接和 shadow AI 相关的泄露事件，平均 每起事件额外多花 67 万美元。这就是大多数公司没在盯的那起泄露，因为他们都忙着盯模型去了。

这就是 shadow IT，而且套路一模一样

这些在形态上都不新鲜。我们以前见过：人们通过官方渠道拿不到自己需要的工具，于是就用了 Dropbox，或者自己的私人 Gmail，或者一个没人审核过的 SaaS 应用——这就是 shadow IT。Shadow AI 是同一个故事，只是换成了一个更快、更能干、也更饥渴数据的工具，而根本原因还是同一个：人会绕开摩擦。 他们不是想泄露数据，他们只是想把活干完，而被批准的那条路要么慢、要么压根不存在——63% 的组织根本没有任何 AI 使用政策——所以他们伸手去抓那条又快又非官方的路，然后闭口不谈。

这个重新定义很重要，因为它告诉你：这个问题首先并不真的是个安全问题。它是一个产品和流程问题，然后才演变成安全问题。你的人想用 AI 的程度，超过了你给他们提供安全用法的程度，而 shadow AI 的规模，就是这道差距的大小。

封禁是最糟的一步

领导层一看到这些数字，本能就是收紧：封掉工具、禁止使用、一纸命令把它扫地出门。可这恰恰就是当初制造出问题的那一步。封禁并不会消除需求，它只会消除你对需求的可见性。生产力提升是实打实的，人们不会放弃它，所以一刀切的封禁只会把使用赶到地下去，在那里你监控不了、设不了边界，甚至连什么数据流向了哪里都无从知道。你拿一个看得见、管得住的风险，换来了一个看不见、管不住的风险。

数据把这一点说得很直白：禁令会被绕过，但 当公司提供经过批准的工具时，未授权使用下降了 89%。杠杆不在于禁止，而在于一条足够好的、被批准的路，好到没人再需要那条影子路。

真正管用的做法

应对 shadow AI 的答案，和应对 shadow IT 的答案是一样的：让安全的那条路成为最省事的那条路。具体来说：

• 提供一个被批准的、又快又安全的选项。 这是单项最有效的动作。如果你批准的 AI 和 ChatGPT 一样好、一样快，绕开你的理由就蒸发了。大部分 shadow AI，不过是人们去够你没提供的那份能力。
• 设清楚的数据边界，而不是模糊的恐惧。 人们隐瞒使用，部分原因是规则根本没写下来。明明白白地告诉他们什么能放进 AI、什么不能——客户数据、密钥、源代码——这样谨慎的大多数人就能照做，而不是靠猜。
• 实时引导，别只会硬拦。 在有人正要粘贴敏感内容的那一刻给个提醒（「这看起来像一条客户记录——这里有批准过的工具」），能在不打断工作的前提下改变行为。硬拦只会把他们赶到自己手机上去。
• 维护一份动态的清单并做审计。 看不见的东西你治理不了。摸清到底有哪些 AI 在被使用，是第一步——而且这是个移动靶，所以它是持续的，不是一次性的扫描。

这和那个 更大的安全要点 是同一个教训：AI 危险的那部分，通常不是模型，而是它周围的系统和人的流程——在这里，就是被批准的使用和实际使用之间的那道差距。

归根结底

你最该担心的那起 AI 泄露，不是科幻片里那种模型失控的剧情。它是那种极其普通、已经在发生的：一个出于好意、赶着截止日期的员工，把不该粘的东西粘进了一个你管不着的工具里，还没告诉你。它很普遍、很隐蔽、也很烧钱——而它之所以存在，是因为工作中对 AI 的需求，已经跑赢了安全的供给。

所以别再把 shadow AI 当成一个纪律问题，开始把它当成一个供给问题。别去封禁那个人们明显需要的东西；给他们一个足够安全、足够快的版本，让绕开你这件事不再说得通，把数据红线画清楚，剩下的盯紧点。把你的人想用 AI 的程度，和他们能安全用 AI 的程度之间那道差距合上——因为眼下这道差距大敞着，而且正在漏。