近日，美國一家社區銀行因員工將客戶資料輸入未經核准的人工智慧（AI）工具，導致資料外洩，被迫依規揭露重大網路安全事件。此事件凸顯了企業內部「影子AI」（Shadow AI）所潛藏的巨大風險，即使沒有駭客入侵，僅是員工的無心之失，也可能引發嚴重的合規與安全問題。

根據《American Banker》報導，CB Financial Services（CB Financial Services Inc.）旗下 Community Bank（Community Bank, N.A.）的一名員工，在製作簡報時，將包含客戶姓名、社會安全碼和出生日期等非公開資料，輸入至未經銀行批准的AI應用程式。儘管銀行營運未受影響，也無證據顯示資料遭濫用，但這項行為已觸發多項監管義務，包括向美國證券交易委員會（U.S. Securities and Exchange Commission）提交 Form 8-K 報告、在36小時內通知審慎監管機構，並依據《金融服務法現代化法案》（Gramm-Leach-Bliley Act）規定通知受影響客戶。

CB Financial 的總裁兼執行長 John Harold Montgomery 對《American Banker》表示，該名員工是透過個人裝置，經完全認證的管道上傳資料，且誤以為檔案中的敏感資訊已移除。所幸銀行及早發現，並及時與AI工具供應商聯繫，成功阻止客戶資料被用於訓練AI模型。CB Financial 的高級執行副總裁兼營運長 Jennifer George 強調，這是一起單一員工的個人行為，透過已認證的入口網站存取資料，而該檔案和所有相關指令在確認上傳後已立即刪除。

「影子AI」指的是員工在未經企業批准下使用的AI工具，類似於過去的「影子IT」問題（如未經授權使用雲端儲存或個人裝置處理公務）。《Fast Company》報導指出，近半數（46%）的美國員工已在使用AI工具，而顧問公司 Gartner 的調查發現，高達69%的網路安全主管懷疑員工正在使用未經核准的AI工具。與影子IT相比，影子AI更難以察覺，且可能導致更嚴重的後果，例如機密資料和智慧財產權的外洩。

此次事件揭露了企業面臨的內部威脅，員工往往基於提升工作效率的良好動機，卻可能在不知情的情況下，將敏感資料暴露於不受管制的風險中。WSGR律師事務所（Wilson Sonsini Goodrich & Rosati）的警示更指出，敏感資料正持續被輸入未經授權的AI工具中，且不在既定安全控制範圍內。為此，Community Bank 已封鎖未經核准AI工具的網域，並收緊員工存取客戶資料的權限，擴大資料安全政策。專家建議，企業應採行AI工具的使用政策、資料遺失預防軟體，並建立經審查的供應商清單，以應對日益嚴峻的影子AI挑戰。