相較之下,調查結果揭示員工行為與主管認知之間的巨大落差。高達 52% 的知識型員工坦承曾使用未經公司核准的AI工具,其中 24% 更表示經常使用。這些「影子AI」的使用行為帶來顯著的資安風險,包括分享機密公司文件、提供人力資源資訊,甚至有 16% 的員工透露曾將登入憑證提供給這些未經核准的AI工具。 Okta 的 AI 資安副總裁兼總經理 Harish Peri 警示:「網路資安界有句老話:你看不見的就無法保護。」他強調,若資安與法規遵循團隊無法掌握AI工具的使用情況,就無法有效管理其風險。
調查進一步顯示,近三分之二的知識型員工每天至少使用一次AI工具。其中,68% 的人使用自主型 AI 代理(AI agents),而 62% 的人則經常使用大型語言模型(LLMs)及 AI 聊天機器人。美國員工使用未經核准 AI 工具的比例最高,達到 67%,其次是澳洲(60%)、英國(55%)和加拿大(約 50%)。相較之下,法國和德國的比例最低,均約為 30%。值得注意的是,英國的這種主管自信與員工現實之間的落差最為嚴重,儘管 96% 的英國主管對 AI 工具的掌握度充滿信心,但仍有逾半數的員工使用未經核准的工具。
Harish Peri 指出,大多數情況下,影子AI的出現並非惡意,而是無意間發生。他表示,由於企業缺乏對未經管理工具的能見度、治理和資安控制,影子AI主要為企業領導者帶來困擾。他強調,組織必須實施有效的AI治理框架,優先考量以身份為中心的控制措施、自動化偵測,並建立安全的沙盒環境以安全測試 AI 工具,以應對這些「無論有意無意」都將擴大企業攻擊面的風險。
