生成式AI正在以前所未有的速度嵌入企业核心工作流。报告数据显示,尽管AI真正进入企业环境仅有两到三年时间,但已有45%的企业员工在日常工作中使用生成式AI工具,其相关流量已占全部企业应用访问的11%。在所有AI工具中,ChatGPT几乎形成垄断,占据92%的AI使用量,整体渗透率达到43%,其扩散速度已可与电子邮件、在线会议等传统基础型SaaS应用相提并论,标志着AI已从“新技术”跃迁为“基础设施”。
高速普及的另一面,是敏感数据暴露风险的同步放大。报告指出,40%的文件上传至生成式AI工具的内容包含PII或PCI数据,文件存储平台中的这一比例为41%。换言之,几乎每两次上传,就有一次涉及高度敏感信息。这些上传行为中,约四成发生在非企业账号之下,使得大量关键数据在未经审计和留痕的情况下进入外部平台,合规与泄露风险被系统性放大。
身份治理的失效进一步加剧了这一风险。数据显示,67%的生成式AI访问、64%的在线会议登录以及77%的CRM访问,均通过个人或非托管账号完成。即便使用企业账号,SSO的覆盖率仍然极低,ERP系统中83%的登录未启用SSO,CRM也高达71%。这意味着大量“企业系统”的访问行为,在安全强度上与个人账号并无本质差异,企业对核心业务数据的可视性和控制力被严重削弱。
在数据流动方式上,传统DLP最难覆盖的复制粘贴行为,已成为最主要的外泄通道。77%的员工会将数据直接粘贴到生成式AI提示框中,其中82%的操作来自非企业账号。生成式AI已占企业数据从公司环境流向个人环境的32%,位列所有外泄路径之首。平均来看,每名员工每天通过非企业账号进行约14次粘贴操作,其中至少3次涉及敏感信息。
即时通信工具构成了另一处高风险盲区。87%的聊天应用使用发生在非企业账号环境下,而62%的企业用户曾在聊天中粘贴包含PII或PCI的数据。相较于文件上传,这类行为频次更高、痕迹更少,使得敏感信息以“碎片化、持续性”的方式流出企业边界,显著提升了长期合规和内部威胁风险。
从整体结构看,企业安全体系正面临一个根本性错配。安全控制仍以“文件”和“受管系统”为核心,而真实的数据流动却越来越多地发生在浏览器内、账号之外、以文本和即时交互的形式完成。AI、即时通信和文件存储正在形成新的高风险三角区,但治理策略尚未同步升级。
趋势上看,生成式AI将继续深化为企业生产力的关键组成部分,其使用门槛低、价值密度高的特征,决定了“全面禁止”并不可行。未来的数据安全竞争焦点,将从是否允许AI,转向是否能在浏览器与身份层面实现细粒度、行动级的治理。谁能率先覆盖复制粘贴、非托管账号和AI交互场景,谁就能在下一阶段的企业数据安全中占据主动。
文档链接将分享到199IT知识星球,扫描下面二维码即可查阅!
<!-- 非定向300*250按钮 17/09 wenjing begin --> <!-- 非定向300*250按钮 end -->
</div>
