71%GenAI工具登录使用个人账户,而在使用企业账户的登录行为中,58%未采用单点登录(SSO)。这些操作完全绕过了组织的身份与访问管理(IAM)系统,导致安全团队无法掌握GenAI的具体使用场景及潜在数据泄露风险。
普通用户对数据暴露风险认知不足
绝大多数GenAI使用者为低频用户,可能并未意识到数据暴露风险。仅15%企业员工每周使用GenAI,深度用户占比极低,低频用户构成主体。
开发人员是活跃用户主力军。企业用户中,研发部门占GenAI使用者的39%,销售与市场占28%,IT、人力资源及财务部门用户占比均不足10%。
研究发现,20.63%用户安装了AI浏览器插件,其中45%用户安装超过一个同类插件。GenAI插件中,58%的权限级别被归类为"高危"或"关键",略低于所有插件66.6%的高危比例。值得注意的是,5.6%的AI插件被标记为"恶意软件",可实施数据窃取。
头部应用垄断九成流量,长尾暗藏隐患
90%的AI使用集中于知名应用,但存在大量隐蔽的"影子AI"工具。ChatGPT独占50%企业使用量,前五大AI SaaS应用覆盖85%流量。然而在主流应用之外,众多低频AI工具游离于监管之外,安全团队既无法掌握应用清单,也难以实施有效管控。
少数用户成数据泄露高危群体
虽然文本输入是主流交互方式,但复制/粘贴和文件上传才是大规模数据泄露的主渠道。约18%用户向GenAI工具粘贴数据,其中半数涉及企业信息。
"当企业拥抱GenAI时,安全团队正面临日益严峻的隐形威胁挑战。"LayerX CEO Or Eshed警示道。
报告强调企业需建立主动式风险管理体系:CISO应构建全面的AI风险缓解框架,通过终端级AI审计掌握员工使用情况,强制禁用个人账户并推行SSO认证,在确保生产效率的同时构建安全防线。
"在AI驱动时代,全面禁止并非长久之计。实施自适应、场景化的安全策略,方能在保障生产力与数据安全间取得平衡。"Eshed总结道。
