暗影代理AI成企業安全新隱憂,IT部門難以忽視
軟件工程師一直站在人工智能(AI)開發與應用的前沿。根據Anthropic 2025年經濟指數報告,軟件開發是企業內AI應用活動的主導,約半數的API流量集中在編碼與開發任務上。
然而,當工程師面對沒有現成代理AI工具解決特定業務需求時,許多人傾向自行下載並使用私人代理AI平台,往往未經公司IT部門批准。雖然這種「暗影AI」可能提高個別工程師的工作效率,但對整個企業的網絡安全構成重大風險。
長久以來,暗影AI已是棘手問題。隨着具備自主行動能力的代理AI出現,問題恐怕會加劇。GlobalData高級技術分析師Beatriz Valle指出:「代理AI帶來的挑戰超越傳統暗影AI,例如員工在處理敏感數據時,可能通過提示泄露資料。」
Asana工作創新實驗室負責人Dr Mark Hoffman認為,企業應假設暗影AI實驗已在進行中。「現時工程師需要的數據和背景與企業授權工具所能提供的有很大差距,工程師是解決問題的專家,見到能簡化工作的方式,必然會採用。」
他強調,企業缺乏對安全探索AI的指引,加劇了問題。「較明智做法是制定政策,配合工程師尋找價值的方向,並在受控環境提供官方實驗渠道。工程師很可能在私人時間嘗試最新AI工具,企業應設立AI卓越中心,讓活躍開發者參與其中,而非僅限領導層。」
此舉有助減低未經授權AI使用帶來的安全風險,包括無意中共享知識產權或遭遇提示注入攻擊。Hoffman提醒,與任何新技術一樣,「代理AI的全部風險仍在不斷浮現。」
不僅企業,開發者個人亦承受未授權代理AI使用的後果。Hoffman指出,許多工程師因擔心申請使用會引起注意甚至被拒,寧願先用後求原諒。「長遠來看,工程師應嘗試提出實驗計劃,爭取有限內部概念驗證批准。保持低風險,於非關鍵領域測試,組建專案小組,並記錄節省時間、成本或被接受的提交成果。雖然步伐較慢,但能為爭取領導支持建立證據。」
如何偵測暗影代理AI?
承認暗影代理AI普遍存在是第一步,接着便是偵測問題。然而,目前這仍是未解難題。Netskope威脅實驗室主管Ray Canzanese稱,暗影代理AI已明顯擴散,估計約5.5%企業員工使用開源應用建構器LangChain或OpenAI代理框架等工具自行運行AI代理。
他解釋:「在本地端部署的代理AI,安全團隊難以察覺。工程師在筆電上用LangChain或Ollama等框架運行代理,形成監控盲點,故此可視性、即時指導及明確政策至關重要。」
Canzanese表示,AI平台成為暗影AI增長最快的類別,因為它們讓個人輕鬆打造及定制工具。他認為未來每個具體用例都有可能被代理AI覆蓋:「隨著Azure OpenAI、Amazon Bedrock、Google Vertex AI等平台發展,個人能更便捷地創建符合工作流程的定制代理。廠商日後會覆蓋更多用例,但現時工程師自行構建仍非常普及。」
他補充,平均企業每月向AI工具上傳超過8GB數據,包括源代碼、受管制數據及商業敏感信息。「若這些數據通過未授權代理和無管理的生成式AI傳輸,風險將迅速倍增。」
—
評論與啟示
這篇報道揭示了企業在AI應用快速發展下,面對的管理與安全雙重挑戰。暗影代理AI的出現,反映工程師對現有工具的不足與迫切需求,但同時也暴露出企業政策滯後、監控不足的漏洞。
企業若只一味禁止或忽視這類行為,恐怕無法根本解決問題。相反,應正視工程師的創新動力,主動提供安全、受控的試驗環境,建立內部AI卓越中心,將暗影AI納入管理視野,這不僅有助於風險控制,更能促進AI技術的健康發展。
此外,企業必須強化對敏感數據的保護,制定針對代理AI的安全策略,並提高員工的合規意識。對於工程師而言,學習如何在規範框架下創新,是長遠職涯發展的關鍵。
隨着AI技術日益普及,未來暗影代理AI的問題只會更普遍、更複雜。這提醒我們,企業數碼轉型不應只關注技術本身,更要重視治理結構與文化的同步升級,才能真正駕馭AI帶來的革命性變革。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎬 YouTube Premium 家庭 Plan成員一位 只需 HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
