報告 發布於 AIA: 2026年6月24日

Shadow AI 與企業資料治理:2,240 萬則企業提示詞暴露出的資料外流問題

Harmonic 分析 22,458,240 則企業 GenAI 提示詞(prompt)和檔案上傳後,發現 Shadow AI(員工未受管或未經核准使用的 AI 工具)的敏感資料暴露,主要集中在少數應用程式:所有機敏資料暴露事件中,有 92.6% 來自 6 個 app,光是 ChatGPT 就佔其中的 71.2%。Cyberhaven、Verizon DBIR 2026 和 IBM 2025 資料外洩成本研究也強化了同一個防禦重點:企業要在原始碼、法律文件、財務預測或受管制資料離開受管環境之前,要先建立可觀測、可執行的資料流治理。

Data LossData GovernanceIdentity & AccessEnterprise AIShadow AI
8 項對應的 AIDEFEND 防禦手法

威脅分析

  • 這裡的資安風險不是駭客入侵,而是日常工作。 員工用個人帳號或未受管的 AI 工具摘要文件、除錯、翻譯、寫草稿或分析資料。提示詞或上傳檔案就從企業環境進到外部 AI 服務,但沒有經過原本的單一登入(SSO)、集中記錄、保留期限和資料用途控管。
  • Harmonic 的量化數字。 在 22,458,240 則企業提示詞和檔案上傳裡,Harmonic 追蹤到 665 個 AI 工具,偵測出 579,113 次機敏資料暴露。6 個 app 造成 92.6% 的機敏資料暴露,其中光是 ChatGPT 一個就佔 71.2%。
  • 外流的不是低價值資料,而是企業核心資料。 Harmonic 指出,原始碼、法律文件和財務資料合計佔暴露機敏內容的 74.5%。這也和 Verizon DBIR 2026 的資料相符:在 858,440 筆資料外洩防護(DLP)事件裡,最常被送進外部 GenAI 模型的資料類型是原始碼。
  • 個人帳號是最大的盲點之一。 Cyberhaven 報告提到,32.3% 的 ChatGPT 使用發生在個人帳號;Verizon 則指出,67% 的使用者在公司裝置上用非公司帳號存取 AI 服務。也就是說,就算工具本身在公司核准清單上,企業的帳號政策和稽核紀錄仍然可能看不到這些資料流向。
  • Shadow AI 的影響已經反映在實際資料外洩成本上。 IBM 2025 Cost of a Data Breach 研究指出,五分之一的組織回報曾因 Shadow AI 發生資料外洩事件;在 Shadow AI 使用更廣泛的組織裡,平均資料外洩成本比使用較少或沒有使用 Shadow AI 的組織高出 670,000 美元。
  • 師法大禹治水,圍堵不如疏通。 Harmonic 的資料也顯示,企業裡有數百個 AI 工具正在被使用。比較實際可行的防禦方式,是提供經過審核、可控又好用的 AI 工具,讓使用者自然願意走核准路徑;同時標記高風險資料,在機敏資料送出前先警示或阻擋,並留下足夠調查的事件脈絡,但不要把原始機密值或完整機敏內容直接寫進記錄。

適用的 8 項 AIDEFEND 防禦手法

AID-M-001.004
AI Service & Embedded SaaS AI Discovery
這補上本篇最核心的盤點層:團隊要先發現哪些外部 AI 服務、SaaS 內建 AI 功能、瀏覽器裡的生成式 AI app、模型供應商 API、帳號、裝置、團隊和資料類別正在被使用,後面的 gateway、DLP、帳號控管和警示才有依據。
AID-I-002.002
Secure External AI Service Connectivity
這是目前 AIDEFEND 裡最接近 Shadow AI 主情境的控制。前提是,使用者裝置與 AI 連線本身要在企業可治理、可監測的範圍內,例如受 EDR 或 MDM 管理的公司手機與電腦、AI gateway(集中代理 AI 請求的閘道)、proxy(代理伺服器)、安全網路閘道、企業連接器,或受管瀏覽器路徑。這項控制可以限制外部 AI 連線目標、執行傳輸與對外連線政策,並監控異常。
AID-H-030.001
Data-Use Policy Schema, Tagging & Classification
如果企業分不出提示詞或上傳檔案裡是原始碼、法律資料、財務預測、受管制紀錄,還是低風險文字,Shadow AI 就很難治理。機器可讀的資料用途標籤,可以讓 AI gateway、瀏覽器、端點和 AI 路由器在資料被貼進提示詞或附加成檔案前,有明確的政策判斷依據。
AID-H-030.002
Lifecycle-Stage Authorization Gate
這項控制只適用在 AI 使用有經過企業可控路徑時。已標記的資料進入推論上下文、記錄、記憶、RAG 索引或外部供應商處理之前,預設拒絕的授權閘門可以擋下未標記、未授權,或正被送往錯誤帳號與目的地的資料。若員工完全繞過受管路徑,這不是完整解法。
AID-D-005.001
AI System Log Generation & Collection
對可治理的 AI 路徑而言,團隊需要結構化且已遮蔽機敏內容的記錄,包含工具、帳號類型、使用者、資料類別、政策決策、提示詞或檔案事件中繼資料、連線目標和關聯 ID。這些記錄要能證明發生了什麼事,但不應該把完整原始碼、法律文字或機密值明文保存下來。
AID-D-005.002
Security Monitoring & Alerting for AI
監控可以把看得到的 AI 使用變成可偵測的資安面。實務上可以針對公司裝置上的個人帳號 AI 使用、首次出現的 AI 網域、大量複製或檔案上傳、提示詞裡的原始碼樣式、法律或財務文件上傳,以及使用者送出前反覆忽略警示等情境建立規則。
AID-H-014.001
Digital Content & Data Watermarking
內容浮水印不能阻止員工把公司資料貼進個人 AI 帳號,但可以讓後續調查更有證據。若文件、程式碼片段、圖片、合成資料或其他高風險內容本身帶有穩定標記,團隊就比較有機會確認外流資料的來源、是哪一份副本或哪一群使用者看過,以及它後來是否出現在核准路徑之外。
AID-DV-002
Honey Data, Decoy Artifacts & Canary Tokens for AI
Canary 資料和誘餌文件不是 Shadow AI 的主要預防控制,但對追責很有價值。帶有唯一追蹤標記的 honey record(誘餌資料)、假 API key、誘餌文件或內嵌 canary URL,可以幫助團隊發現看似機敏的資料曾被讀取、複製、上傳,或後續出現在核准 AI 路徑之外,讓事件歸因和後續處置更有依據。

身為資安防禦者,我們應該這麼做

  • 盤點 AI 使用情況,至少要知道工具、帳號類型、裝置、團隊和資料類別。先從最高用量的工具開始,包括 ChatGPT、Gemini、Claude、Microsoft Copilot、Perplexity,以及法律或程式碼助理這類專用工具。
  • 在監控裡把企業 AI 帳號和個人帳號分開看。只有 SSO 覆蓋率不夠,因為員工仍可能在受管裝置上,用私人登入開啟同一個 AI 服務。
  • 定義哪些資料不應該離開未受管路徑:原始碼、機密值、法律文件、財務預測、併購資料、受管制資料、客戶個資、健康資料和內部專案紀錄。
  • 在提示詞或檔案送出前加政策檢查。低風險內容可以放行或提醒;高風險內容如果要送到個人帳號或未核准 AI 工具,就要阻擋、遮蔽,或導到核准過的企業 AI 路徑。
  • 留下已遮蔽的決策記錄。記錄工具、帳號類型、使用者、資料類別、連線目標、政策結果和事件 ID,但不要把原始提示詞或檔案明文保存下來。
  • 把防禦設計成好用的工作路徑,而不是單純禁用 AI。提供真的符合工作流程的核准工具,再把硬性阻擋保留給高風險資料和反覆繞過政策的行為。

1 個額外的防禦考量

瀏覽器與端點上的提示詞上傳控制

除了上面對應的技術之外,團隊也應該控制瀏覽器和端點這一層,因為員工通常是在這裡貼上提示詞、附加檔案,並在公司帳號和個人 AI 帳號之間切換。
建議做法: 導入瀏覽器、端點、CASB(雲端存取安全代理)或安全網路閘道控制,辨識 AI 網站、區分個人帳號和企業帳號、檢查提示詞與檔案上傳事件裡是否含高風險資料,並依風險警示、阻擋、遮蔽,或把使用者導到核准過的 AI 路徑。

結論

Shadow AI 不是單純的員工粗心問題,而是資料流治理問題:工作資料進入 AI 工具的速度,已經快過企業身分管理、DLP、記錄和資料用途政策能跟上的速度。AIDEFEND  這類控制最有效的地方,是公司可觀測、可治理的 AI 使用路徑,例如公司裝置、公司帳號、受管瀏覽器、AI gateway、DLP 或企業 AI 服務。

AIDEFEND  不能單獨解決所有資料外流問題。若員工用個人手機拍攝公司螢幕,再上傳到個人 ChatGPT 帳號,AI 輸入檢查通常看不到這條路徑。實務目標是把可控路徑管好,縮小不可控路徑能暴露的資料範圍,並用權限最小化、畫面浮水印、資料存取監控、canary 資料、實體管制和員工政策補上。